Bösartiger Code in LiteLLM: API-Key-Stealer aktiviert sich beim Python-Start
Die Kompromittierung der LiteLLM-Pakete in den Versionen 1.82.7 und 1.82.8 setzte Tausende von Entwicklern einer Gefahr aus. Vom PyPI installiert (97 Millionen Downloads pro Monat), enthielt das Paket einen Stealer, der SSH-Schlüssel, AWS-, GCP- und Azure-Token, Kubernetes-Konfigurationen, Crypto-Wallets und alle Umgebungsvariablen ausliest. Es dient als Gateway für über 100 LLM-Anbieter, darunter OpenAI und Anthropic. Die kompromittierten Versionen wurden entfernt; die sichere Version ist 1.82.6.
Angriffsmechanismus
Der bösartige Code wurde automatisch ausgelöst:
- Version 1.82.8: Startet bei jedem Python-Start über .pth-Dateien, unabhängig davon, ob die Bibliothek importiert wird. Jedes Skript hat den Stealer aktiviert.
- Version 1.82.7: Wird nur beim Import von LiteLLM im Code aktiviert.
Die gesammelten Daten wurden verschlüsselt und an models.litellm.cloud gesendet – eine Domain, die sich als litellm.ai tarnt. In 1.82.8 führte ein Bug im Malware zu einer Fork-Bombe: Erzeugung von Child-Prozessen bei jedem Python-Start, was zu RAM-Auslastung und Entdeckung führte.
Die Kompromittierung erfolgte über eine transitive Abhängigkeit im MCP-Plugin für die IDE Cursor. Ohne den Bug hätte der Stealer unbemerkt laufen können.
Zuordnung des Angriffs
Der Angriff wird der Gruppe TeamPCP zugeschrieben. In einer Woche im März 2026:
- Trivy (Aqua Security) Kompromittierung.
- Checkmarx und KICS.
- LiteLLM (BerriAI).
Muster: Hack des Maintainer-Kontos, Veröffentlichung bösartiger Version, mehrstufiger Stealer. Im BerriAI-Repo – Commit „TeamPCP owns BerriAI“, Issue #24512 von Angreifern geschlossen.
Empfehlungen für Überprüfung und Wiederherstellung
- Alle Schlüssel ersetzen: SSH, AWS/GCP/Azure-Token, K8s-Konfigs, Crypto-Wallets, Umgebungsvariablen.
- CI/CD prüfen: Jede
pip install litellmohne Versionsfixierung könnte die bösartige Version gezogen haben. - Maschinen überprüfen: Überall, wo das Paket installiert wurde, auch wenn ungenutzt.
- Überwachen: Traffic zu models.litellm.cloud.
LiteLLM verwaltet LLM-API-Schlüssel und ist daher ein vorrangiges Ziel.
Wichtigste Erkenntnisse
- Liest alle Umgebungsvariablen beim Python-Start aus (1.82.8).
- 97 Millionen Downloads/Monat – Umfang der Bedrohung.
- Automatische Aktivierung ohne Import der Bibliothek.
- TeamPCP-Serie von Angriffen auf Dev-Tools.
- Ironie: Gateway für LLM-Schlüssel kompromittiert.
— Editorial Team
Noch keine Kommentare.