Supply-Chain-Attacke auf LiteLLM: Betroffene sollen Credentials sofort ändern
Es hat offenbar ein Angriff auf die Open-Source-Bibliothek zur Anbindung an LLMs stattgefunden, wodurch zwei kompromittierte Pakete Credentials stehlen können.
(Bild: solarseven / Shutterstock.com)
Das LiteLLM-Entwicklungsteam hat einen Security-Angriff bekanntgegeben: Zwei LiteLLM-Pakete im Python Package Index (PyPI) waren demnach kompromittiert und mit einem Credential-Stealer versehen. Das LiteLLM-Team teilt mit, wie Entwicklerinnen und Entwickler herausfinden können, ob sie betroffen sind, und welche nächsten Schritte sie sofort unternehmen sollen.
Bei LiteLLM handelt es sich um eine Open-Source-Bibliothek, die sich via Proxy-Server oder Python-SDK aufrufen lässt. Sie bietet ein einheitliches Interface, um über 100 Large Language Models aufzurufen, beispielsweise von OpenAI oder Anthropic.
Supply-Chain-Angriff auf zwei LiteLLM-Pakete
Die beiden LiteLLM-Pakete in den Versionen 1.82.7 und 1.82.8 wurden offenbar kompromittiert und mit einem Credential-Stealer ausgestattet. Dieser ist darauf ausgelegt, Daten abzugreifen, und sucht nach SSH-Keys, Umgebungsvariablen, Cloud-Provider-Credentials (AWS, GCP, Azure), Kubernetes-Token sowie Datenbankpasswörtern. Laut Endor Labs ist der Payload dreistufig: Er stiehlt Credentials, versucht lateral in Kubernetes-Cluster einzudringen und installiert eine persistente systemd-Backdoor. Laut dem Security-Unternehmen Snyk, das den Fall beobachtet, verzeichnet LiteLLM täglich rund 3,4 Millionen Downloads.
Videos by heise
Die kompromittierten Pakete wurden Snyk zufolge durch den Angreifer TeamPCP hochgeladen, nachdem dieser die Credentials des Maintainers durch einen vorherigen Angriff auf Trivy erhalten hatte. Trivy ist ein quelloffener Security-Scanner, der in der CI/CD-Pipeline von LiteLLM zum Einsatz kommt. TeamPCP greift laut dem Security-Software-Anbieter Endor Labs bereits seit Ende Februar an und hangelt sich dabei offenbar mithilfe der jeweils gestohlenen Credentials von einem Projekt zum nächsten.
Betroffene sollen unverzüglich handeln
Die beiden LiteLLM-Pakete wurden inzwischen von PyPI entfernt, sollen jedoch mehrere Stunden zum Download verfügbar gewesen sein (am 24. März 2026, zwischen 10:39 UTC und 16:00 UTC). Legt man zugrunde, dass LiteLLM täglich rund 3,4 Millionen Downloads verzeichnet, sind die im Netz kursierenden Hochrechnungen, dass mehrere hunderttausend Systeme betroffen sein könnten, durchaus realistisch.
Wer eines der betroffenen Pakete heruntergeladen hat, sollte unverzüglich den Empfehlungen von LiteLLM folgen. Dazu zählt, alle Secrets auf dem System als kompromittiert anzusehen und sie zu rotieren. Außerdem sollte man das Dateisystem überprüfen und einen Audit der Versionshistorie durchführen, um alle Orte aufzudecken, an denen die Pakete installiert wurden. Ferner stehen E-Mail-Adressen und ein Slack-Channel bereit, worüber sich Betroffene direkt an das LiteLLM-Team wenden können.
Im LiteLLM-Blog ist aufgeführt, wie sich feststellen lässt, ob sich die Schadpakete auf dem System befinden. Entwicklerinnen und Entwickler, die das offizielle LiteLLM-Proxy-Docker-Image verwenden, seien von dem Angriff nicht betroffen. Derzeit sind neue LiteLLM-Releases pausiert, bis das Entwicklungsteam die Sicherheit des Release-Pfades bestätigen kann.
(mai)
