En tråd som sprer seg raskt på Lobsters og HN akkurat nå handler om noe som skjedde så sent som i går: LiteLLM, et av de mest brukte Python-bibliotekene for å snakke med LLM-APIer, ble brukt som angrepsvektør i et klassisk supply chain-angrep. FutureSearch har publisert en detaljert analyse på bloggen sin, og community-reaksjonen er sterk — dette traff mange som ikke så det komme.

Hvordan skjedde det? Trusselaktøren som går under navnet "TeamPCP" fikk tak i LiteLLMs PyPI-publiseringslegitimasjon ved å utnytte en sårbar versjon av Trivy — et sikkerhetsscanner-verktøy som kjørte i LiteLLMs egne bygg-pipelines. Med andre ord: verktøyet som skulle beskytte, ble våpenet. Det er bitter ironi.

De to ondsinnede versjonene lå åpent tilgjengelig på PyPI i rundt tre timer før pakkeregisteret fikk karantinert dem. Det høres kort ut, men i et aktivt utviklermiljø er tre timer mer enn nok til å gjøre skade.

Versjon 1.82.8 var særlig stygg: den installerte en .pth-fil som kjørte skadevaren automatisk ved enhver Python-invokasjon — selv om du aldri importerte litellm direkte.

Skadevaren var designet for å støvsuge hosten for hemmeligheter: AWS- og GCP-credentials, GitHub-tokens, SSH-nøkler, kubeconfig-filer, Docker-credentials, krypto-wallets (Bitcoin, Ethereum, Litecoin) og shell-historikkfiler. I tillegg forsøkte den lateral movement i Kubernetes-klynger og installerte en persistent systemd-bakdør. Dette er ikke amatørarbeid.

Angrepet er allerede koblet til tidligere kompromitteringer av Trivy og Checkmarx KICS basert på overlappende infrastruktur og metodikk — samme tpcp.tar.gz-filnavn og RSA-nøkler dukker opp igjen.

Hva bør du gjøre nå?

Sjekk hvilken versjon du kjører: pip show litellm | grep Version. Hvis du har 1.82.7 eller 1.82.8, er det krise-modus: roter absolutt alt av credentials som var tilgjengelig på den hosten. Pin til <=1.82.6 i alle miljøer. Sjekk nettverkslogger for trafikk mot models.litellm.cloud og checkmarx.zone — det er C2-domener brukt i angrepet.

Dette er et early signal fra community-kilder, og den fulle omfanget av skaden er ikke kjent ennå. Men at det i det hele tatt skjedde er et kraftig varsel: CI/CD-pipelines er et attraktivt mål, og upinnede sikkerhetsverktøy i byggeprosessen er en angrepsflate de færreste tenker på.

Hold øye med dette — mainstream sikkerhetsmedia plukker det sannsynligvis opp i løpet av dagen.