Zurück zur Startseite

Stealer in LiteLLM: Schlüssel-Diebstahl beim Python-Start

Stealer von Zugangsdaten in LiteLLM 1.82.7- und 1.82.8-Paketen entdeckt, aktiviert sich beim Python-Start. TeamPCP-Angriff betraf Tausende Entwickler. Ersetzung aller Schlüssel und CI/CD-Audit erforderlich.

LiteLLM unter Attack: Stealer stiehlt LLM-Schlüssel
Advertisement 728x90

Bösartiger Code in LiteLLM: API-Key-Stealer aktiviert sich beim Python-Start

Die Kompromittierung der LiteLLM-Pakete in den Versionen 1.82.7 und 1.82.8 setzte Tausende von Entwicklern einer Gefahr aus. Vom PyPI installiert (97 Millionen Downloads pro Monat), enthielt das Paket einen Stealer, der SSH-Schlüssel, AWS-, GCP- und Azure-Token, Kubernetes-Konfigurationen, Crypto-Wallets und alle Umgebungsvariablen ausliest. Es dient als Gateway für über 100 LLM-Anbieter, darunter OpenAI und Anthropic. Die kompromittierten Versionen wurden entfernt; die sichere Version ist 1.82.6.

Angriffsmechanismus

Der bösartige Code wurde automatisch ausgelöst:

  • Version 1.82.8: Startet bei jedem Python-Start über .pth-Dateien, unabhängig davon, ob die Bibliothek importiert wird. Jedes Skript hat den Stealer aktiviert.
  • Version 1.82.7: Wird nur beim Import von LiteLLM im Code aktiviert.

Die gesammelten Daten wurden verschlüsselt und an models.litellm.cloud gesendet – eine Domain, die sich als litellm.ai tarnt. In 1.82.8 führte ein Bug im Malware zu einer Fork-Bombe: Erzeugung von Child-Prozessen bei jedem Python-Start, was zu RAM-Auslastung und Entdeckung führte.

Google AdInline article slot

Die Kompromittierung erfolgte über eine transitive Abhängigkeit im MCP-Plugin für die IDE Cursor. Ohne den Bug hätte der Stealer unbemerkt laufen können.

Zuordnung des Angriffs

Der Angriff wird der Gruppe TeamPCP zugeschrieben. In einer Woche im März 2026:

  • Trivy (Aqua Security) Kompromittierung.
  • Checkmarx und KICS.
  • LiteLLM (BerriAI).

Muster: Hack des Maintainer-Kontos, Veröffentlichung bösartiger Version, mehrstufiger Stealer. Im BerriAI-Repo – Commit „TeamPCP owns BerriAI“, Issue #24512 von Angreifern geschlossen.

Google AdInline article slot

Empfehlungen für Überprüfung und Wiederherstellung

  • Alle Schlüssel ersetzen: SSH, AWS/GCP/Azure-Token, K8s-Konfigs, Crypto-Wallets, Umgebungsvariablen.
  • CI/CD prüfen: Jede pip install litellm ohne Versionsfixierung könnte die bösartige Version gezogen haben.
  • Maschinen überprüfen: Überall, wo das Paket installiert wurde, auch wenn ungenutzt.
  • Überwachen: Traffic zu models.litellm.cloud.

LiteLLM verwaltet LLM-API-Schlüssel und ist daher ein vorrangiges Ziel.

Wichtigste Erkenntnisse

  • Liest alle Umgebungsvariablen beim Python-Start aus (1.82.8).
  • 97 Millionen Downloads/Monat – Umfang der Bedrohung.
  • Automatische Aktivierung ohne Import der Bibliothek.
  • TeamPCP-Serie von Angriffen auf Dev-Tools.
  • Ironie: Gateway für LLM-Schlüssel kompromittiert.

— Editorial Team

Advertisement 728x90

Weiterlesen