Сообщество разработчиков ИИ 24 марта столкнулось с крупным инцидентом в области информационной безопасности. Широко используемый для интеграции с крупными моделями LLM Python-пакет LiteLLM, версия 1.82.8, был скомпрометирован путём злонамеренного внедрения. Достаточно выполнить команду

pip install litellm

чтобы привести к однократной утечке SSH-ключей, сертификатов AWS/GCP/Azure, настроек Kubernetes, аутентификационных данных Git, переменных окружения (все API-ключи), истории Shell, криптовалютных кошельков, SSL-ключей, секретов CI/CD, паролей баз данных и других конфиденциальных данных на удалённый сервер.

Область заражения: любые проекты, зависящие от LiteLLM, подвержены риску.

LiteLLM скачивается 97 миллионов раз в месяц, и его масштаб уже весьма значителен. Более того, суть цепочки поставок делает ущерб ещё более масштабным, чем у непосредственных пользователей — любой пакет, зависимый от LiteLLM, может быть затронут. Например,

pip install dspy

(зависит от litellm>=1.64.0) также может стать жертвой атаки, и это касается других крупных проектов.

По анализу Андрея Карпати, опубликованному в X, злоумышленная версия была выпущена менее чем за час, и её быстро обнаружили — что стало скорее исключением: разработчик Callum McMahon использовал в Cursor плагин MCP, который вводил LiteLLM как транзитивную зависимость. При установке версии 1.82.8 компьютер сразу же исчерпал память и завис. Если бы не баг в коде злоумышленников, эта атака могла продолжаться неделями без обнаружения.

Аккаунт CEO LiteLLM предположительно был взломан, что свидетельствует о более масштабной атаке.

Эксперты по безопасности сообщили, что аккаунты LiteLLM на GitHub и PyPI, по всей видимости, были взломаны. И это не единичный случай — одна и та же атака (TeamPCP) одновременно поразила расширения VSCode и Cursor, внедрив там удалённый доступный троян «ZOMBI» и скрытые VNC-серверы с SOCKS-прокси. Сообщается, что было украдено более 500 тысяч пар сертификатов, и пострадали крупные известные компании.

Немедленные меры: проверка версий и понижение

Затронутая версия — 1.82.8. Если у вас установлена эта версия, все сертификаты следует считать скомпрометированными и немедленно заменить:

Проверка версии pip show litellm # Понижение до безопасной версии pip install litellm==1.82.7

Карпати: пора переосмыслить культуру зависимости

Карпати использовал этот инцидент для более глубоких размышлений: традиционная разработка программного обеспечения рассматривает зависимости как «кирпичи для построения пирамиды» — эффективный инструмент. Но атаки через цепочку поставок делают это предположение всё более опасным. Он считает, что следует отдавать приоритет использованию возможностей LLM для «прямого извлечения» (yoink) нужных функций, а не внедрять целые внешние пакеты — особенно когда функции достаточно просты и реализуемы.

Этот инцидент также заставил разработчиков понять, что по мере того, как автоматизация с помощью AI-агентов всё шире использует команду

pip install

, человеческий контроль и проверка этой линии защиты быстро исчезают. Защита на уровне пакетов переходит из «желательного дополнения» в «базовую необходимость».

Эта статья «Атака цепочки поставок LiteLLM на PyPI: 97 миллионов скачиваний в месяц — вредоносное внедрение, утечка SSH-ключей и API-ключей» впервые появилась в Chain News ABMedia.