Supply-Chain-Attacke auf LiteLLM: Betroffene sollen Credentials sofort ändern

Summary

Das LiteLLM-Entwicklungsteam hat einen Security-Angriff bekanntgegeben: Zwei LiteLLM-Pakete im Python Package Index (PyPI) waren demnach kompromittiert und mit einem Credential-Stealer versehen. Das LiteLLM-Team teilt mit, wie Entwicklerinnen und Entwickler herausfinden können, ob sie betroffen sind, und welche nächsten Schritte sie sofort unternehmen sollen. Weiterlesen nach der Anzeige Bei LiteLLM handelt es sich um eine Open-Source-Bibliothek, die sich via Proxy-Server oder Python-SDK aufrufen lässt. Sie bietet ein einheitliches Interface, um über 100 Large Language Models aufzurufen, beispielsweise von OpenAI oder Anthropic. Supply-Chain-Angriff auf zwei LiteLLM-Pakete Die beiden LiteLLM-Pakete in den Versionen 1.82.7 und 1.82.8 wurden offenbar kompromittiert und mit einem Credential-Stealer ausgestattet. Dieser ist darauf ausgelegt, Daten abzugreifen, und sucht nach SSH-Keys, Umgebungsvariablen, Cloud-Provider-Credentials (AWS, GCP, Azure), Kubernetes-Token sowie Datenbankpasswörtern. Laut Endor Labs ist der Payload dreistufig: Er stiehlt Credentials, versucht lateral in Kubernetes-Cluster einzudringen und installiert eine persistente systemd-Backdoor. Laut dem Security-Unternehmen Snyk, das den Fall beobachtet, verzeichnet LiteLLM täglich rund 3,4 Millionen Downloads. Die kompromittierten Pakete wurden Snyk zufolge durch den Angreifer TeamPCP hochgeladen, nachdem dieser die Credentials des Maintainers durch einen vorherigen Angriff auf Trivy erhalten hatte. Trivy ist ein quelloffener Security-Scanner, der in der CI/CD-Pipeline von LiteLLM zum Einsatz kommt. TeamPCP greift laut dem Security-Software-Anbieter Endor Labs bereits seit Ende Februar an und hangelt sich dabei offenbar mithilfe der jeweils gestohlenen Credentials von einem Projekt zum nächsten. Betroffene sollen unverzüglich handeln Die beiden LiteLLM-Pakete wurden inzwischen von PyPI entfernt, sollen jedoch mehrere Stunden zum Download verfügbar gewesen sein (am 24. März 2026, zwischen 10:39 UTC und ...