Kompromitované verzie LiteLLM na PyPI kradli citlivé údaje a šírili sa v Kubernetes prostredí. Pozrite sa, aký má incident dopad na cloud a AI infraštruktúru.
Incident, ktorý sa dostal priamo do oficiálneho repozitára
Bezpečnostný incident, ktorý zasiahol knižnicu LiteLLM, patrí medzi tie, ktoré majú veľmi praktický dopad na fungovanie cloudových a AI riešení. Do oficiálneho repozitára PyPI sa dostali dve škodlivé verzie balíčka (1.82.7 a 1.82.8), ktoré boli schopné nielen zbierať citlivé údaje, ale aj aktívne sa šíriť v infraštruktúre.
Podľa zistení spoločností Endor Labs, JFrog a Wiz boli tieto verzie publikované 24. marca 2026 a po odhalení následne odstránené. Za poslednú bezpečnú verziu sa považuje 1.82.6.
Čo sa dialo po nasadení balíčka
Škodlivý kód bol navrhnutý tak, aby získaval údaje priamo z prostredia, v ktorom bol spustený. Zameriaval sa najmä na prístupové údaje, SSH kľúče, Kubernetes tokeny, konfiguračné súbory či .env súbory.
Získané dáta boli následne odosielané na infraštruktúru kontrolovanú útočníkom. V prípade nasadenia v prostredí Kubernetes navyše dochádzalo k pokusom o ďalšie šírenie – malware pracoval s dostupnými tokenmi, zisťoval štruktúru clusteru a snažil sa nasadzovať privilegované workloady.
Technický rozdiel, ktorý zvýšil riziko
Rozdiel medzi kompromitovanými verziami bol zásadný. Kým verzia 1.82.7 aktivovala škodlivý kód pri konkrétnej interakcii s knižnicou, verzia 1.82.8 obsahovala aj .pth súbor.
Ten umožňuje automatické spustenie kódu pri štarte Python interpreteru, čo znamená, že kompromitácia mohla nastať aj bez priameho použitia knižnice.
Pozadie útoku a širšia súvislosť
Z dostupných informácií vyplýva, že k incidentu nedošlo cez štandardný vývojový proces, ale prostredníctvom kompromitovaného prístupu na publikovanie balíčka.
Útok je zároveň spájaný s aktivitami skupiny TeamPCP, ktorá sa v poslednom období zameriava na open source ekosystém a postupne rozširuje svoje pôsobenie.
Dopad na cloudové a AI prostredia
LiteLLM patrí medzi rozšírené knižnice a podľa dostupných údajov sa nachádza približne v 36 % cloudových prostredí.
Ak bol balíček použitý v CI/CD pipeline, kontajneroch alebo produkčných Kubernetes clustroch, existuje reálne riziko, že kompromitácia mohla zasiahnuť širšiu infraštruktúru vrátane ďalších systémov a prístupov.
Čo to znamená pre prax
Z praktického pohľadu je kľúčové overiť, či sa kompromitované verzie v prostredí nenachádzali. V prípade ich použitia je potrebné pristupovať k situácii ako k možnému úniku údajov.
To zahŕňa preverenie infraštruktúry, kontrolu komunikácie aj rotáciu prístupových údajov. Incident zároveň ukazuje, že bezpečnosť dodávateľského reťazca softvéru je dnes kritickou témou pre každú organizáciu pracujúcu s cloudom alebo AI.
