NERDMANMalware in LiteLLM — PyPI-Paket verseucht
Jemand hat das beliebte KI-Proxy-Tool LiteLLM auf PyPI mit Schadcode infiziert. Version 1.82.8 enthielt eine manipulierte `.pth`-Datei, die beim Import automatisch ausgeführt wurde.
Was passiert ist
Callum McMahon entdeckte den Angriff und meldete ihn direkt an PyPI. Er nutzte Claude in einem isolierten Docker-Container, um den Schadcode zu verifizieren. Das Ergebnis war eindeutig: Die frisch von PyPI heruntergeladene `.whl`-Datei enthielt die bösartige Datei `litellm_init.pth`.
📅 Timeline
- Schritt 1:** McMahon bemerkt verdächtigen Code in LiteLLM
- Schritt 2:** Isolierter Docker-Container aufgesetzt, frisches Paket von PyPI gezogen
- Schritt 3:** Claude bestätigt die Malware in der `.pth`-Datei
- Schritt 4:** Claude liefert sogar die richtige Security-Kontaktadresse von PyPI
- Schritt 5:** Meldung an PyPI, Paket wird gesperrt
💡 Was das bedeutet
Das ist ein klassischer Supply-Chain-Angriff. LiteLLM ist ein Proxy-Layer, den tausende Entwickler nutzen, um verschiedene LLM-APIs unter einer Schnittstelle zu bündeln. Wer `pip install litellm` lief, hat sich den Schadcode direkt in die Infrastruktur geholt. Und `.pth`-Dateien werden von Python automatisch ausgeführt — ohne dass der Nutzer etwas merkt.
KI jagt KI-Malware
Der Clou an der Geschichte: McMahon hat seine kompletten Claude-Transkripte veröffentlicht. Die zeigen Minute für Minute, wie er mit Claude den Angriff analysiert hat. Das KI-Tool half beim Reverse-Engineering, bestätigte den Fund und schlug sogar den richtigen Meldeweg vor.
✅ Pro
- Schnelle Erkennung dank Community-Aufmerksamkeit
- Claude als Analyse-Tool hat funktioniert
- McMahon hat transparent alles dokumentiert
❌ Con
- PyPI hat kein automatisches Scanning für `.pth`-Exploits
- Unklar, wie lange die infizierte Version online war
- Jedes Python-Paket kann so angegriffen werden
