BTC $62,112.83 -2.59%
ETH $1,764.70 -1.99%
BNB $565.66 -1.36%
XRP $1.06 -2.19%
SOL $74.59 -2.67%
TRX $0.3242 -2.09%
DOGE $0.0716 -1.14%
ADA $0.1566 -3.02%
BCH $234.42 -2.88%
LINK $7.85 -1.40%
HYPE $63.13 -6.22%
AAVE $93.99 -3.29%
SUI $0.7141 -2.73%
XLM $0.1804 -2.86%
ZEC $492.36 -7.65%
BTC $62,112.83 -2.59%
ETH $1,764.70 -1.99%
BNB $565.66 -1.36%
XRP $1.06 -2.19%
SOL $74.59 -2.67%
TRX $0.3242 -2.09%
DOGE $0.0716 -1.14%
ADA $0.1566 -3.02%
BCH $234.42 -2.88%
LINK $7.85 -1.40%
HYPE $63.13 -6.22%
AAVE $93.99 -3.29%
SUI $0.7141 -2.73%
XLM $0.1804 -2.86%
ZEC $492.36 -7.65%

litellm이 PyPI 공급망 공격을 당해 간단한 설치로 SSH 키 등 모든 민감한 자격 증명을 탈취할 수 있습니다

2026-03-25 08:13:52
수집

Andrej Karpathy는 X 플랫폼에서 litellm이 PyPI 공급망 공격을 받았다고 발표했습니다. 단지 pip install litellm을 실행하기만 하면 SSH 키, AWS/GCP/Azure 자격 증명, Kubernetes 구성, git 자격 증명, 환경 변수, 암호화 지갑, SSL 개인 키, CI/CD 키 및 데이터베이스 비밀번호를 훔칠 수 있습니다.

litellm의 월 다운로드 수는 9700만 회에 달하며, 위험은 litellm에 의존하는 모든 프로젝트로 확산될 수 있습니다. 예를 들어 dspy와 같은 프로젝트가 있습니다. 악성 코드가 삽입된 버전은 온라인에 올라온 지 약 1시간도 채 되지 않아 Callum McMahon의 머신 메모리가 고갈되어 크래시가 발생하면서 발견되었습니다. Andrej Karpathy는 공급망 공격이 현대 소프트웨어에서 가장 위협적인 문제라고 언급하며, 의존 항목을 설치할 때마다 의존 트리 깊숙한 곳에 변조된 소프트웨어 패키지가 도입될 수 있다고 경고했습니다. 그는 점점 더 의존성을 줄이고 LLM을 사용하여 간단한 기능을 직접 구현하는 쪽으로 기울고 있습니다.

app_icon
ChainCatcher Building the Web3 world with innovations.