Škodlivý kód

Obě verze obsahovaly malware s několika funkcemi:

• Krádež přihlašovacích údajů (SSH klíče, cloud tokeny AWS/GCP/Azure, Kubernetes secrets, .env soubory, přístupy ke kryptoměnovým peněženkám).
• Exfiltrace dat na attacker-controlled server models.litellm.cloud.
• Nástroje pro laterální pohyb v Kubernetes (nasazování privilegovaných podů).
• Persistentní backdoor registrovaný jako systemd služba.

Verze 1.82.8 navíc využívala mechanismus .pth souboru, který spouští kód automaticky při startu Python interpreteru – tedy i bez explicitního importu balíčku.

Kdo byl ohrožen

• Uživatelé, kteří v kritickém okně nainstalovali verze 1.82.7 nebo 1.82.8 přes pip.
• Oficiální LiteLLM Proxy Docker image (s pinned verzemi) nebyl ovlivněn.

Doporučení

1. Zkontrolujte historii instalací balíčků v kritickém časovém okně.
2. Pokud byly instalovány postižené verze → okamžitě rotujte všechny secrets (cloud keys, SSH, Kubernetes, API klíče k LLM providerům atd.).
3. Zkontrolujte přítomnost neznámých systemd služeb a podezřelých procesů.
4. V budoucnu preferujte pinned verze (==) a SBOM / integrity checking.

Tento incident opět ukazuje, jak nebezpečné mohou být kompromitace CI/CD nástrojů a bezpečnostních scannerů – útočníci postupně pivotují z jednoho důvěryhodného projektu na další.

LiteLLM security update

Datadog Security Labs

ReversingLabs

Snyk