NERDMANVergiftetes KI-Paket klaut 40.000 Entwicklern die Daten
Ein kompromittiertes Python-Paket von LiteLLM hat wochenlang sensible Daten von Entwicklern abgegriffen. Über 40.000 Downloads, bevor jemand es gemerkt hat.
Was passiert ist
LiteLLM ist ein beliebtes Open-Source-Tool, das verschiedene KI-Modelle unter einer einheitlichen API zusammenfasst. Rund 3 Millionen Downloads pro Tag. Ein Angreifer hat eine manipulierte Version auf PyPI hochgeladen — den zentralen Paketmanager für Python. Wer diese Version installiert hat, bekam eine bösartige Payload untergejubelt.
Die Malware hat im Hintergrund sensible Informationen gesammelt und nach außen geschickt. API-Keys, Zugangsdaten, Umgebungsvariablen — alles, was Entwickler auf ihren Maschinen liegen haben.
Zahlenbox
- 40.000+** — Downloads der kompromittierten Version
- 3 Mio./Tag** — normale Download-Rate von LiteLLM
- 1** — einziger Sicherheitsforscher hat es gefunden
Wie der Angriff funktionierte
Klassische Supply-Chain-Attacke. Der Angreifer hat nicht LiteLLM selbst gehackt, sondern eine manipulierte Version ins PyPI-Repository geschleust. Entwickler, die `pip install` ausgeführt haben, bekamen die vergiftete Version — ohne es zu merken. Die Payload hat dann still und leise Daten exfiltriert.
Entdeckt hat das Ganze Callum McMahon, Sicherheitsforscher bei FutureSearch. Ohne ihn wäre der Angriff vermutlich noch länger unentdeckt geblieben.
💡 Was das bedeutet
Die gesamte KI-Infrastruktur hängt an einer Handvoll Python-Pakete. Wer LiteLLM nutzt, routet damit Anfragen an OpenAI, Anthropic, Azure und Dutzende andere Anbieter — inklusive der dazugehörigen API-Keys. Ein kompromittiertes Paket an dieser Stelle ist wie ein Generalschlüssel zu allen KI-Diensten eines Unternehmens.
✅ Pro
- Schnelle Entdeckung durch unabhängigen Forscher
- PyPI hat reagiert und die Version entfernt
❌ Con
- 40.000 Downloads bevor jemand etwas merkte
- PyPI hat keine ausreichende Vorab-Prüfung
- Betroffene wissen vermutlich nicht, dass ihre Keys kompromittiert sind
