A LiteLLM 1.82.8 csomagjában bujkál egy veszélyes jelszólopó
Simon Willison szerint a LiteLLM 1.82.8 csomagjában bujkáló jelszólopó akár ~/.ssh/ és ~/.aws/ mappákat is elérheti
Simon Willison riasztó bejelentésében kiderült, hogy a LiteLLM 1.82.8 verziója egy rejtett, base64‑ben titkosított litellm_init.pth fájlban rejtőzött credential stealerrel kompromittálva lett. A csomag telepítése már automatikusan aktiválja a rosszindulatú kódot, függetlenül attól, hogy importáljuk-e a litellm modult.
A támadás során a kódban található szkript több mint 30 különböző konfigurációs és hitelesítési fájlt és mappát próbál meg olvasni, beleértve a ~/.ssh/, ~/.aws/, ~/.kube/ és ~/.docker/ könyvtárakat, valamint a ~/.gitconfig, ~/.npmrc, ~/.vault-token és számos más, gyakran használt hitelesítési fájlt.
Az útvonal a Trivy sebezhetőségéhez kapcsolódik, amely a LiteLLM CI környezetében használt biztonsági szkenner. A Trivy exploit valószínűleg a PyPI hitelesítő adatok lopásához vezetett, amelyeket a támadók felhasználtak a veszélyes csomag közvetlen publikálásához.
A PyPI már korlátozta a LiteLLM csomagot, így a kompromittációs ablak csak néhány órás volt. A felhasználóknak azonban óvatosnak kell lenniük, ha korábban telepítették a 1.82.8 verziót.
Az esemény rávilágít a supply‑chain támadások növekvő veszélyére, különösen a nyílt forráskódú eszközökben, és arra, hogy a CI környezetek védelmének szigorítása mennyire létfontosságú.