NERDMANHacker vergiften Python-Pakete mit Malware
Dieselbe Crew, die den Trivy-Supply-Chain-Angriff zu verantworten hat, schlägt erneut zu. Diesmal: manipulierte Telnyx-Pakete auf PyPI, Pythons größtem Paket-Repository.
So lief der Angriff
Die Angreifer pushten gefälschte Versionen des Telnyx-Pakets auf PyPI. Wer die installierte, holte sich Credential-Stealing-Malware auf den Rechner. Ziel: Zugangsdaten von Entwicklern abgreifen.
Bereits zuvor hatte dieselbe Gruppe das LiteLLM-Paket kompromittiert — ein beliebtes Tool in der KI-Szene, das als Proxy für verschiedene LLM-APIs dient. Die Verbindung zum Trivy-Breach ist bestätigt.
📅 Timeline
- Trivy-Breach:** Erste Supply-Chain-Attacke der Gruppe wird bekannt
- LiteLLM:** Manipulierte Paketversionen tauchen auf PyPI auf
- Telnyx:** Nächstes Opfer — gleiche Methode, gleiche Crew
- Jetzt:** Weitere Angriffe auf PyPI-Pakete gelten als wahrscheinlich
💡 Was das bedeutet
Supply-Chain-Angriffe auf PyPI treffen die KI-Branche ins Mark. LiteLLM wird von tausenden Entwicklern genutzt, die damit Claude, GPT und andere Modelle ansprechen. Ein kompromittiertes Paket reicht, und API-Keys, Cloud-Credentials und Kundendaten landen bei Kriminellen.
So schützt du dich
- Versionen pinnen** — keine automatischen Updates ohne Review
- Hashes prüfen** — `pip install` mit `--require-hashes` nutzen
- Neue Releases checken** — plötzliche Versionssprünge sind ein Warnsignal
- Dependency-Scanner** — Tools wie `pip-audit` in die CI/CD-Pipeline einbauen
Das größere Bild
PyPI hat kein verpflichtendes Code-Signing für Paket-Maintainer. Wer Zugang zu einem Account bekommt, kann beliebige Versionen hochladen. Die Plattform arbeitet an Trusted Publishers und Attestations — aber flächendeckend durchgesetzt ist das noch lange nicht.
