AI Upskill Media
Увійти
НегативнаImpact 9/10🔐 Кібербезпека BREAKING

Атака на бібліотеку LiteLLM: як ваші ключі AI витекли через заражений пакет

Вайб-кодинг19 днів тому2 перегляди

24 березня 2026 року у PyPI з’явилася заражена версія бібліотеки litellm, яка через вредоносний .pth‑файл викрадає SSH‑ключі, облікові дані хмарних провайдерів та інші секрети при будь‑якому запуску Python‑інтерпретатора. Атака використовує тришарову base64‑обфускацію, створює персистентний systemd‑бэкдор і вже заразила понад 1000 SaaS‑середовищ, а прогноз – до 10 000. Виявлено через баг, що викликав fork‑bomb у редакторі Cursor, що вимагає негайної ротації всіх кредецій для версій 1.82.7 та 1.82.8.

ВердиктНегативнаImpact 9/10

🚨 Значний вплив на індустрію

🟢 МОЖЛИВОСТІ

🟢 Можливості: негайно аудитувати всі залежності, які використовують litellm, перейти на безпечну версію 1.82.6 або нижче, ротувати всі API‑ключі та хмарні кредеції, внедрити контроль над .pth‑файлами та моніторинг вихідних з’єднань на підозрілі домени. 🔴 Загрози: якщо не ротувати кредеції, злоумисловики можуть отримати повний доступ до продакшн‑середовищ, запустити латеральне розширення через привілеговані Pod у K8s та викрасти інтелектуальну власність. Для бізнесу це означає потенційні мільйоновидтрати та репуційний удар.

🔴 ЗАГРОЗИ

Більшість аналізаторів пропустили, що вредоносний код активується без будь‑якого імпорту litellm – достатньо будь‑якого запуску Python, включаючи language‑server IDE або тестовий раннер. Це робить атаку практично незапізнюваною в стандартних CI/CD пайплайнах, де часто запускають прості скрипти без явного використання бібліотеки.

🎯 Чи підходить це вашому бізнесу?

Заповніть профіль компанії — і ми автоматично покажемо, чи варто вам це впроваджувати.

Заповнити профіль · 30 секунд
Детальний розбір ↓

TL;DR

  • Зловредна версія litellm (1.82.7‑1.82.8) краде SSH‑ключі, хмарні кредеції та інші секрети через .pth‑файл.
  • Атака включає AES‑256, RSA‑OAEP та персистентний systemd‑бэкдор, що зв’язується з сервером кожні 50 хвилин.
  • Виявлено через баг, що викликав fork‑bomb у Cursor; потребує негайної ротації всіх кредецій.

Як ця атака може вплинути на ваш бізнес?

Коли розробник запускає будь‑який Python‑процес — IDE, тести, CI — вредоносний код виконується та збирає дані з файлової системи. Отримані кредеції дозволяють злоумисловикам увійти в хмарні облікові записи, розгортати привілеговані контейнери та викратати код або дані. Це призводить до фінансових втрат, простоїв та регуляторних штрафів.

Визначення: .pth‑файл — це файл конфігурації шляху Python, який автоматично обробляється модулем site при старті інтерпретатора; якщо рядок починається з import, він виконується як звичайний код.

Чи стосується це лише користувачів litellm?

Ні. Через залежності litellm tugається у понад 2000 пакетів (DSPy, MLflow, Open Interpreter тощо), отже навіть якщо ви не встановлювали бібліотеку прямо, вона може потрапити у ваше середовище транзитивно. Тому аудит має охоплювати всі залежності, а не лише явні пакети.

Які кроки потрібно виконати прямо зараз?

  1. Перевірте версії litellm у всіх проектах (pip show litellm). Якщо версія 1.82.7 або 1.82.8 — негайно знижте до 1.82.6 або нижче.
  2. Ротуйте всі SSH‑ключі, AWS/GCP/Azure кредеції, ключі БД, крипто‑гаманці та будь‑які API‑токени, які могли зберігатися у .env або сховищах.
  3. Перевірте наявність файлу ~/.config/sysmon/sysmon.py та сервісу systemd; якщо знайдено — вимкніть та видалить.
  4. Запустіть надане скрипт‑самоперевірку (gist) щоб виявити .pth, бекдор та підозрілі з’єднання.
  5. Введіть обмеження на виконання arbitrary .pth‑файлів (наприклад, через переменну окружения PYTHONSAFEPATH) та моніторинг вихідних HTTP‑запитів на незнайомі домени.

Чи може статися таке знову?

Так. Атака показала, що навіть інструменти безпеки (Trivy) можуть стати точкою зламу, коли токени компрометуються. Організації повинні внедряти сканування залежностей з перевіркою хешів, підписання пакетів та контроль над публікацією у реєстрах, а також використовувати ізольовані середовища для сборки та тестування.

🔒 Підтекст (Insider)

Ця атака показує, як інструменти безпеки (Trivy) можуть стати вектором зламу, коли злоумисловики крадуть легітимні PyPI‑токени. Фінансується, ймовірно, через підпольну групу TeamPCP, яка монетизує викрадені дані шляхом продажу доступу до хмарних інфраструктур та крипто‑гаманців. Реальна мотивація – отримання доступов до корпоративних секретів для шантажу або подальших зламів.

Такий розбір щоранку о 08:00

Персональний AI-дайджест для вашої галузі — щодня у Telegram

7 днів безкоштовно

Джерела

Вайб-кодинг — оригінал
litellmsupplychainattackLLMAPIcredentialtheftbackdoorPyPICVE-2026-???

Навчіть вашу команду будувати такі AI-автоматизації

За 5 днів кожен співробітник побудує автоматизацію для своєї ділянки роботи.

Дізнатись більше → aiupskill.live