Manipulierte LiteLLM‑Pakete auf PyPI (v1.82.7/1.82.8) haben sensible Schlüssel und Konfigurationen abgegriffen. Sofort handeln!
In Kürze
- Komprimittierte Pakete auf PyPI ohne GitHub‑Freigabe
- Malware exfiltriert SSH‑Keys, API‑Tokens und Kubernetes‑Konfigs
- Unbedingt Keys rotieren, Cluster und Logs prüfen
Die Open‑Source‑Bibliothek LiteLLM, die viele Entwickler:innen als Proxy für KI‑Sprachanfragen nutzen, wurde laut Sicherheitsforscher Callum McMahon über das Python‑Paketverzeichnis PyPI mit Schadsoftware ausgeliefert. Betroffen sind die Versionen 1.82.7 und 1.82.8, die am 24. März 2026 auf PyPI erschienen — ohne entsprechende Freigabe im offiziellen GitHub‑Repo des Projekts.
Was die Malware macht
Die manipulierten Pakete enthalten Code, der SSH‑Schlüssel, Cloud‑Zugangsdaten, Datenbankpasswörter und Kubernetes‑Konfigurationen ausliest. Die erbeuteten Dateien werden verschlüsselt und an einen externen Server gesendet. Zusätzlich breitet sich die Malware in Kubernetes‑Clustern aus und richtet persistente Hintertüren ein, um langfristigen Zugriff zu sichern.
Wie der Vorfall entdeckt wurde
Aufmerksam wurde die Szene, als das kompromittierte Paket in dem Code‑Editor Cursor einen Absturz verursachte. McMahon geht davon aus, dass der Autor von LiteLLM „sehr wahrscheinlich vollständig kompromittiert“ wurde. Die kompromittierten Versionen erschienen offenbar ohne die üblichen Freigabeschritte im Projekt‑Repository.
Wer betroffen sein könnte
Wenn du LiteLLM in den genannten Versionen verwendet hast, besteht akuter Handlungsbedarf. Betroffen sind vor allem Entwickler:innen und Teams, die die Bibliothek in lokalen Entwicklungsumgebungen, CI‑Pipelines oder in Cloud‑Deployments einsetzen — besonders, wenn sensible Schlüssel oder Konfigurationsdateien dort gespeichert sind.
Kommentare von NVIDIA
Jim Fan, Director of AI bei NVIDIA, bezeichnete den Fall auf LinkedIn als „reinen Albtraum‑Stoff“ und warnte vor einem zusätzlichen Risiko: Über verseuchte Dateien im Dateisystem könnten KI‑Agenten manipuliert werden. Jede Textdatei, die ein Agent beim Arbeiten einliest, werde so zu einem potenziellen Angriffsvektor; ein kompromittierter Agent könnte Nutzende auf verschiedenen Konten täuschend echt imitieren.
Empfehlungen aus der Branche
Fan rät dazu, Abhängigkeiten zu reduzieren und statt großer Bibliotheken schlanke Eigenlösungen zu bevorzugen. Er prognostiziert außerdem das Entstehen einer neuen Branche, die er „De‑Vibing“ nennt — also geprüfte, klassische Software, die als Schutzschicht um KI‑Agenten gelegt wird.
Was du jetzt tun solltest
- Wenn du LiteLLM 1.82.7 oder 1.82.8 genutzt hast: Ändere sofort alle Passwörter, SSH‑Keys, API‑Tokens und Cloud‑Zugangsdaten.
- Drehe betroffene Keys und Tokens zurück, invalidiere Sessions und erstelle neue Schlüsselpaare.
- Prüfe Kubernetes‑Cluster auf unbekannte Pods, CronJobs oder persistenten Zugriff; suche nach Hinweisen auf seitliche Bewegungen.
- Untersuche Logs und Backup‑Speicher auf unerwartete Exfiltrationen.
- Technische Details und Indicators of Compromise sind in den Berichten auf GitHub dokumentiert (Link in den ursprünglichen Meldungen).
Wenn du unsicher bist, welche Systeme betroffen sein könnten, setze priorisiert dort an, wo LiteLLM in Build‑Pipelines, Shared‑Environments oder in Cloud‑Instanzen lief.
Quellen
- Quelle: LiteLLM
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
