Zpět na domů

Stealer v LiteLLM: krádež klíčů při spuštění Pythonu

V balíčcích LiteLLM 1.82.7 a 1.82.8 objeven stealer přihlašovacích údajů, který se aktivuje při spuštění Pythonu. Útok TeamPCP postihl tisíce vývojářů. Nutná výměna všech klíčů a audit CI/CD

LiteLLM pod útokem: stealer krade klíče LLM
Advertisement 728x90

# Škodlivý kód v LiteLLM: Kradoucí program API klíčů se aktivoval při spuštění Pythonu

Kompromitace balíčku LiteLLM verzí 1.82.7 a 1.82.8 ohrozila tisíce vývojářů. Balíček nainstalovaný z PyPI (97 milionů stažení měsíčně) obsahoval kradoucí program, který kradl SSH klíče, tokeny AWS, GCP, Azure, konfigurace Kubernetes, kryptoměnové peněženky a všechny proměnné prostředí. Je to brána pro 100+ poskytovatelů LLM, včetně OpenAI a Anthropic. Kompromitované verze byly odstraněny, bezpečná je 1.82.6.

Mechanismus útoku

Škodlivý kód se aktivoval automaticky:

  • Verze 1.82.8: spuštění při každém startu Pythonu prostřednictvím .pth souborů, nezávisle na importu knihovny. Jakýkoli skript aktivoval kradoucí program.
  • Verze 1.82.7: aktivace pouze při importu LiteLLM do kódu.

Shromážděné údaje byly šifrovány a odesílány na models.litellm.cloud – doménu maskovanou pod litellm.ai. Ve verzi 1.82.8 chyba v malwaru způsobovala fork bombu: vytváření dceřiných procesů při každém spuštění Pythonu, což vedlo k vyčerpání RAM a odhalení.

Google AdInline article slot

Kompromitace nastala prostřednictvím transitivní závislosti v MCP plug-inu IDE Cursor. Bez chyby by kradoucí program pracoval skrytě.

Atribuce útoku

Útok se připisuje skupině TeamPCP. Během týdne v březnu 2026:

  • Kompromitace Trivy (Aqua Security).
  • Checkmarx a KICS.
  • LiteLLM (BerriAI).

Vzor: prolomení účtu maintainera, publikace škodlivé verze, vícekrokový kradoucí program. V repozitáři BerriAI – commit „TeamPCP owns BerriAI“, issue #24512 uzavřeno útočníky.

Google AdInline article slot

Doporučení pro kontrolu a obnovení

  • Nahradit všechny klíče: SSH, AWS/GCP/Azure tokeny, K8s konfigurace, kryptoměnové peněženky, proměnné prostředí.
  • Zkontrolovat CI/CD: přítomnost pip install litellm bez fixace verze mohla stáhnout škodlivou verzi.
  • Audit strojů: kde byl balíček instalován, i bez použití.
  • Monitorování: provoz směřující na models.litellm.cloud.

LiteLLM spravuje API klíče LLM, což ho učinilo ideálním cílem.

Co je důležité

  • Kradl všechny proměnné prostředí při spuštění Pythonu (1.82.8).
  • 97 milionů stažení/měsíc – rozsah hrozby.
  • Automatická aktivace bez importu knihovny.
  • Série útoků TeamPCP na vývojářské nástroje.
  • Ironie: brána pro LLM klíče kompromitována.

— Editorial Team

Advertisement 728x90

Číst dál