NERDMANCredential-Stealer vergiftet beliebtes KI-Paket auf PyPI
LiteLLM, eines der meistgenutzten Open-Source-Tools für LLM-API-Routing, wurde auf PyPI kompromittiert. Version 1.82.8 enthält einen versteckten Credential-Stealer — und allein die Installation reicht aus, um ihn auszulösen.
So funktioniert der Angriff
Der Schadcode steckt in einer Datei namens `litellm_init.pth`. Das Fiese daran: `.pth`-Dateien werden von Python automatisch beim Start ausgeführt. Kein `import litellm` nötig. Kein bewusstes Aufrufen. Du installierst das Paket — und der Stealer läuft.
Der eigentliche Payload ist in Base64 kodiert. Klassische Verschleierung, aber effektiv genug, um an automatischen Scans vorbeizukommen.
Zwei Versionen betroffen
- v1.82.7:** Schadcode in `proxy/proxy_server.py` — wird erst beim Import aktiv
- v1.82.8: Schadcode in `litellm_init.pth` — wird bei jeder** Python-Ausführung aktiv, sobald das Paket installiert ist
Die Angreifer haben also nachgebessert. Version 1.82.8 ist die deutlich gefährlichere Variante.
💡 Was das bedeutet
LiteLLM wird von tausenden Entwicklern eingesetzt, um Anfragen an OpenAI, Anthropic, Azure und andere LLM-APIs zu routen. Wer das kompromittierte Paket installiert hat, muss davon ausgehen, dass sämtliche API-Keys und Zugangsdaten abgeflossen sind. Sofort rotieren. Alle.
Zahlenbox
- 2 Versionen** — mit Schadcode auf PyPI veröffentlicht
- 0 Imports nötig** — `.pth`-Trick braucht keinen einzigen Funktionsaufruf
- Base64** — Verschleierungsmethode für den Payload
Supply-Chain-Angriffe treffen jetzt KI-Infrastruktur
Das ist kein Einzelfall. PyPI hatte in den letzten Jahren dutzende kompromittierte Pakete. Aber hier trifft es ein Tool, das direkt zwischen Entwicklern und ihren LLM-API-Keys sitzt. Besseres Ziel gibt es kaum.
Wer LiteLLM nutzt: Versionen prüfen, betroffene Releases deinstallieren, alle Credentials rotieren.
