Zurück zur Startseite

LiteLLM-Hack: Angriff auf PyPI und Mercor-Datenleck

Hackergruppe TeamPCP hat LiteLLM über Trivy kompromittiert und bösartige Versionen auf PyPI veröffentlicht. Der Angriff führte zu Leck von Geheimnissen und 4 TB Mercor-Daten. Der Beitrag analysiert den Mechanismus, die Folgen und Schutzmaßnahmen für Entwickler.

Hacker haben LiteLLM gehackt: 97 Millionen Installationen in Gefahr
Advertisement 728x90

# Supply-Chain-Angriff auf LiteLLM: Wie Hacker den KI-Startup Mercor knackten

Die KI-Plattform Mercor, die sich auf die Rekrutierung für das Training von KI-Modellen spezialisiert, wurde Opfer eines Angriffs durch die Kompromittierung der Python-Bibliothek LiteLLM. Der Vorfall traf eine Plattform im Wert von 10 Milliarden Dollar, die täglich über 2 Millionen Dollar an Auftragnehmer auszahlt. Hacker kompromittierten Trivy, erhielten Zugriff auf PyPI und veröffentlichten bösartige Versionen 1.82.7 und 1.82.8 der Bibliothek, die als Proxy für LLM APIs dient.

Angriffsmechanismus über PyPI

Der Angriff begann am 24. März, als die Gruppe TeamPCP den Trivy-Schwachstellen-Scanner hackte, ein Publishing-Token extrahierte und infizierte LiteLLM-Pakete hochlud. Die Bibliothek wird monatlich 97 Millionen Mal heruntergeladen und dient als einheitliche Schnittstelle zu Modellen von OpenAI, Anthropic und anderen.

Der bösartige Code aktivierte sich bei der Installation, ohne dass ein litellm-Import nötig war. Er extrahierte:

Google AdInline article slot
  • SSH-Schlüssel;
  • Cloud-Anmeldeinformationen;
  • Kubernetes-Geheimnisse;
  • Provider-API-Schlüssel.

Der Einbruch wurde durch einen Malware-Fehler entdeckt: Eine .pth-Datei löste rekursives Prozess-Forking aus, was zu einer Fork-Bombe führte, die das System eines Engineers bei FutureSearch abstürzen ließ und den Vorfall aufdeckte.

Folgen für Mercor und das Ökosystem

Die Gruppe Lapsus$ behauptete, 4 TB Mercor-Daten über Tailscale VPN gestohlen zu haben. Der Dump umfasst:

  • 939 GB Quellcode;
  • 211 GB Benutzerdatenbank;
  • 3 TB Videointerviews und Verifizierungsunterlagen.

Die Analyse von Proben ergab Daten aus Slack, Ticketsystemen und KI-Agent-Logs. Mercor bestätigte, den Vorfall eingedämmt zu haben, wollte aber zu Datenlecks bei Kunden nicht Stellung nehmen. LiteLLM entfernte die Versionen, pausierte Veröffentlichungen und wechselte den Compliance-Anbieter zu Vanta.

Google AdInline article slot

Dies ist Teil der TeamPCP-Kampagne: Axios wurde zuvor über npm kompromittiert, mit über 60 betroffenen Paketen in verschiedenen Registern.

Schwachstellen in der Python-Supply-Chain

LiteLLM ist als Proxy für LLM APIs entscheidend für KI-Anwendungen. Der Angriff beleuchtet Risiken wie:

  • Abhängigkeit von offenen Paketen ohne Überprüfung;
  • Fehlendes Sandboxing bei der Installation;
  • Enormen Verteilungsmaßstab (97 Millionen Installationen/Monat).

Entwickler sollten:

Google AdInline article slot
  • Pakethashes vor der Installation prüfen;
  • Virtuelle Umgebungen mit festen Versionen nutzen;
  • Abhängigkeiten mit Tools wie Dependabot oder Snyk überwachen;
  • Supply-Chains mit dem SLSA-Framework prüfen.

Wichtige Erkenntnisse

  • Bedrohungsmaßstab: Eine kompromittierte Abhängigkeit traf Tausende KI-Projekte, die LiteLLM als Gateway zu LLMs nutzen.
  • Technische Details: Die Malware stahl Geheimnisse während pip install, ohne Runtime-Imports, über den .pth-Mechanismus.
  • Reaktion: PyPI entfernte die Pakete, LiteLLM führt einen Audit durch; Mercor beauftragte forensische Experten.
  • Breiterer Kontext: Die TeamPCP-Kampagne traf >60 Pakete, einschließlich in npm.

Der Vorfall unterstreicht die Notwendigkeit von Zero-Trust-Ansätzen in der Supply-Chain-Sicherheit für KI-Infrastruktur.

— Editorial Team

Advertisement 728x90

Weiterlesen