NERDMANMalware in LiteLLM — Claude half beim Aufdecken
Ein Angreifer hat das populäre KI-Proxy-Tool LiteLLM auf PyPI mit Schadcode infiziert. Callum McMahon entdeckte die kompromittierte Version und nutzte ausgerechnet Claude, um den Fund zu verifizieren.
Was passiert ist
Die Version 1.82.8 von LiteLLM auf PyPI enthielt eine manipulierte Datei: `litellm_init.pth`. Wer das Paket installierte, holte sich Malware auf den Rechner. LiteLLM ist kein Nischenprodukt — tausende Entwickler nutzen es als Proxy-Layer für API-Calls an OpenAI, Anthropic und Co.
So lief die Jagd ab
📅 Timeline
- Schritt 1:** McMahon bemerkt verdächtigen Code im Paket
- Schritt 2:** Er startet einen isolierten Docker-Container für die Analyse
- Schritt 3:** Claude bestätigt den Schadcode in der `.pth`-Datei nach frischem Download von PyPI
- Schritt 4:** Claude liefert sogar die Security-Kontaktadresse von PyPI
- Schritt 5:** McMahon meldet den Angriff, das Paket wird entfernt
Ein KI-Modell als forensisches Werkzeug. McMahon hat die kompletten Claude-Transkripte veröffentlicht — minuziös, Minute für Minute.
Was das bedeutet
Supply-Chain-Angriffe auf PyPI sind kein neues Problem. Aber wenn ein Tool wie LiteLLM betroffen ist, das direkt in KI-Infrastruktur sitzt, wird es brisant. Jeder, der `pip install litellm` in Version 1.82.8 ausgeführt hat, war potenziell kompromittiert. Das betrifft Produktivsysteme, nicht Spielprojekte.
✅ Pro
- Schnelle Entdeckung und Meldung durch die Community
- Claude als Analyse-Tool hat funktioniert
- PyPI hat reagiert
❌ Con
- Unklar, wie lange die infizierte Version live war
- Supply-Chain-Security bei Python-Paketen bleibt ein Albtraum
- Kein automatischer Schutzmechanismus hat angeschlagen
