litellm

慢雾の最高情報セキュリティ責任者 23pds（山哥）は X プラットフォームで投稿し、LiteLLM の脆弱性を利用した攻撃者が約 300GB のデータを盗み、約 50 万の認証情報を盗んだとの情報があると述べました。彼はすべての暗号通貨開発者に対し、直ちに確認を行い、関連するキーと認証情報をできるだけ早くローテーションし、ログ、アクセス記録、および機密データの漏洩状況を確認することを推奨しています。Trust Wallet の事件のような損失を避けるためです。以前の情報によると、毎月のダウンロード数が 9700 万回に達する LiteLLM はサプライチェーン攻撃を受け、簡単にインストールすることで SSH キーなどのすべての機密情報を盗むことができます。

Andrej Karpathy は X プラットフォームで、litellm が PyPI サプライチェーン攻撃に遭ったと発表しました。pip install litellm を実行するだけで、SSH キー、AWS/GCP/Azure 認証情報、Kubernetes 設定、git 認証情報、環境変数、暗号ウォレット、SSL プライベートキー、CI/CD キー、およびデータベースパスワードを盗むことができます。litellm の月間ダウンロード数は 9700 万回に達し、litellm に依存するすべてのプロジェクト、例えば dspy にリスクが広がる可能性があります。悪意のあるコードが埋め込まれたバージョンのオンライン時間は約 1 時間未満で、攻撃コードに欠陥があったため、Callum McMahon のマシンのメモリが枯渇してクラッシュしたことで発見されました。Andrej Karpathy は、サプライチェーン攻撃が現代のソフトウェアにおける最も脅威的な問題であり、依存関係をインストールするたびに依存ツリーの深いところに改ざんされたパッケージが導入される可能性があるため、依存関係を減らし、LLM を使用して直接シンプルな機能を実現することにますます傾いていると述べています。