# Supply-Chain-Angriff auf LiteLLM: Wie Hacker den KI-Startup Mercor knackten
Die KI-Plattform Mercor, die sich auf die Rekrutierung für das Training von KI-Modellen spezialisiert, wurde Opfer eines Angriffs durch die Kompromittierung der Python-Bibliothek LiteLLM. Der Vorfall traf eine Plattform im Wert von 10 Milliarden Dollar, die täglich über 2 Millionen Dollar an Auftragnehmer auszahlt. Hacker kompromittierten Trivy, erhielten Zugriff auf PyPI und veröffentlichten bösartige Versionen 1.82.7 und 1.82.8 der Bibliothek, die als Proxy für LLM APIs dient.
Angriffsmechanismus über PyPI
Der Angriff begann am 24. März, als die Gruppe TeamPCP den Trivy-Schwachstellen-Scanner hackte, ein Publishing-Token extrahierte und infizierte LiteLLM-Pakete hochlud. Die Bibliothek wird monatlich 97 Millionen Mal heruntergeladen und dient als einheitliche Schnittstelle zu Modellen von OpenAI, Anthropic und anderen.
Der bösartige Code aktivierte sich bei der Installation, ohne dass ein litellm-Import nötig war. Er extrahierte:
- SSH-Schlüssel;
- Cloud-Anmeldeinformationen;
- Kubernetes-Geheimnisse;
- Provider-API-Schlüssel.
Der Einbruch wurde durch einen Malware-Fehler entdeckt: Eine .pth-Datei löste rekursives Prozess-Forking aus, was zu einer Fork-Bombe führte, die das System eines Engineers bei FutureSearch abstürzen ließ und den Vorfall aufdeckte.
Folgen für Mercor und das Ökosystem
Die Gruppe Lapsus$ behauptete, 4 TB Mercor-Daten über Tailscale VPN gestohlen zu haben. Der Dump umfasst:
- 939 GB Quellcode;
- 211 GB Benutzerdatenbank;
- 3 TB Videointerviews und Verifizierungsunterlagen.
Die Analyse von Proben ergab Daten aus Slack, Ticketsystemen und KI-Agent-Logs. Mercor bestätigte, den Vorfall eingedämmt zu haben, wollte aber zu Datenlecks bei Kunden nicht Stellung nehmen. LiteLLM entfernte die Versionen, pausierte Veröffentlichungen und wechselte den Compliance-Anbieter zu Vanta.
Dies ist Teil der TeamPCP-Kampagne: Axios wurde zuvor über npm kompromittiert, mit über 60 betroffenen Paketen in verschiedenen Registern.
Schwachstellen in der Python-Supply-Chain
LiteLLM ist als Proxy für LLM APIs entscheidend für KI-Anwendungen. Der Angriff beleuchtet Risiken wie:
- Abhängigkeit von offenen Paketen ohne Überprüfung;
- Fehlendes Sandboxing bei der Installation;
- Enormen Verteilungsmaßstab (97 Millionen Installationen/Monat).
Entwickler sollten:
- Pakethashes vor der Installation prüfen;
- Virtuelle Umgebungen mit festen Versionen nutzen;
- Abhängigkeiten mit Tools wie Dependabot oder Snyk überwachen;
- Supply-Chains mit dem SLSA-Framework prüfen.
Wichtige Erkenntnisse
- Bedrohungsmaßstab: Eine kompromittierte Abhängigkeit traf Tausende KI-Projekte, die LiteLLM als Gateway zu LLMs nutzen.
- Technische Details: Die Malware stahl Geheimnisse während
pip install, ohne Runtime-Imports, über den.pth-Mechanismus. - Reaktion: PyPI entfernte die Pakete, LiteLLM führt einen Audit durch; Mercor beauftragte forensische Experten.
- Breiterer Kontext: Die TeamPCP-Kampagne traf >60 Pakete, einschließlich in npm.
Der Vorfall unterstreicht die Notwendigkeit von Zero-Trust-Ansätzen in der Supply-Chain-Sicherheit für KI-Infrastruktur.
— Editorial Team
Noch keine Kommentare.