Python-Paket mit 96 Millionen Downloads über simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen?

Es gibt mal wieder einen "Lieferkettenangriff" – dieses Mal auf ein (AI) Python-Paket, welches 96 Millionen mal heruntergeladen wurde und entsprechend breit eingesetzt wird. Einem Angreifer ist es gelungen, das Paket zu manipulieren, so dass dieser mit einem simplen pip install-Befehl in der Lage war, alles auf dem Computer des Opfers zu stehlen, was dort an Geheimnissen (SSH-Keys, AWS-Credentials etc.) gespeichert ist. Es ist davon auszugehen, dass eine halbe Million sensitive Zugangsdaten abgeflossen sind.

Zur Einordnung: LiteLLM ist ein Open-Source-LLM-Gateway, welches zur Verwaltung  der Authentifizierung, zum Lastenausgleich und zur Kostenüberwachung für über 100 LLMs eingesetzt werden kann. Das Paket benutzt dazu das OpenAI-Format und ist wohl in Python geschrieben. Nun ist es jemandem gelungen, dieses Paket zu kompromittieren.

Initiale Warnung vor kompromittiertem LiteLLM

Der initiale Tweet von Daniel Hnyk, der mir untergekommen ist, warnt, dass LitLLM kompromittiert sei, und man das Paket keinesfalls aktualisieren sollte.

Daniel schrieb zum gestrigen 24. März 2026, dass sie gerade festgestellt hätten, dass die PyPI-Version 1.82.8 von LiteLLM kompromittiert wurde. Sie enthält die Datei "litellm_init.pth" mit Base64-kodierten Anweisungen, die alle gefundenen Anmeldedaten an einen Remote-Server senden. Die Anweisungen enthalten zudem Code, um sich selbst zu replizieren. Daniel Hnyk hat dann auf den Beitrag Supply Chain Attack in litellm 1.82.8 on PyPI von futuresearch.ai verlinkt, wo es weitere Informationen gibt.

Gegen 10:52 Uhr UTC wurde am 24. März 2026 die Version 1.82.8 von litellm auf PyPI veröffentlicht, schreiben die Sicherheitsforscher. Die Version enthält eine schädliche .pth-Datei (litellm_init.pth), die bei jedem Start eines Python-Prozesses automatisch ausgeführt wird, wenn litellm in der Umgebung installiert ist. Im litellm-GitHub-Repository gibt es keinen entsprechenden Tag oder Release – das Paket scheint laut Experten direkt, unter Umgehung des normalen Release-Prozesses, auf PyPI hochgeladen worden zu sein. Später wurde mitgeteilt, dass auch die ältere Instanz version 1.82.7 kompromittiert sei.

Die Experten haben das Paket entdeckt, als es von einem "in Cursor laufenden" MCP-Plugin als transitive Abhängigkeit eingelesen wurde. Cursor ist ein AI-gestützter Code -Editor.  Aufgefallen ist es, da der .pth-Launcher über subprocess.Popen einen untergeordneten Python-Prozess startet. Da .pth-Dateien bei jedem Start des Interpreters ausgelöst werden, gab es so etwas wie eine Rekursion, da der untergeordnete Prozess dieselbe .pth-Datei erneut aufruft. Es entstand eine exponentielle Fork-Bombe, die den Rechner zum Absturz brachte, merken die Forscher an. Dieses Verhalten ist eigentlich ein Fehler in der Malware.

Im Beitrag Supply Chain Attack in litellm 1.82.8 on PyPI gehen die Experten davon aus, dass der Autor des litellm-Pakets kompromittiert ist, da die GitHub-Instanz von Bots überflutet und geschlossen wurde.

Schadsoftware sammelt Geheimnisse

Die wahre Dimension dieses Lieferkettenangriffs auf das litellm-GitHub-Repository wird durch den Tweet von Andrej Karpathy deutlich, der von einem "Software-Horror" spricht.

Ein einfaches `pip install litellm` reichte aus, um SSH-Schlüssel, AWS-/GCP-/Azure-Anmeldedaten, Kubernetes-Konfigurationen, Git-Anmeldedaten, Umgebungsvariablen (alle Ihre API-Schlüssel), den Shell-Verlauf, Krypto-Wallets, private SSL-Schlüssel, CI/CD-Geheimnisse und Datenbankpasswörter zu stehlen.

Laut Karpathy hat LiteLLM selbst 97 Millionen Downloads pro Monat. Das sei schon schlimm genug. Aber es kommt hinzu, dass sich die Infektion auf jedes Projekt ausbreitet, das von litellm abhängt. Wenn ein Benutzer beispielsweise `pip install dspy` ausgeführt  habe (das sei von litellm>=1.64.0 abhängig), ist dessen System ebenfalls kompromittiert. Das Gleiche gilt für jedes andere große Projekt, das von litellm abhängig war, schreibt Karpathy. Er gibt an, dass die manipulierte Version nach seinem Wissen weniger als etwa eine Stunde lang verfügbar war (ich habe die Zeitangabe 3 Stunden gelesen). Ohne den oben beschriebenen Bug wäre die Schadsoftware über Tage, Wochen oder Monate unentdeckt geblieben.

Karpathy schreibt, dass Supply-Chain-Angriffe wie dieser im Grunde das Beängstigendste seien, was man sich in der modernen Software vorstellen kann. Jedes Mal, wenn man eine Abhängigkeit installiert, könnte man ein manipuliertes Paket irgendwo tief im gesamten Abhängigkeitsbaum einbinden. Dies ist besonders riskant bei großen Projekten, die möglicherweise sehr viele Abhängigkeiten haben. Die bei jedem Angriff gestohlenen Anmeldedaten können dann verwendet werden, um weitere Konten zu übernehmen und weitere Pakete zu kompromittieren.

Ich meine: Das interessiert doch derzeit keinen Menschen, wenn man sich die letzten "Unfälle" im Umfeld von KI-Paketen anschaut. Die Leute freuen sich, wenn sie so etwas wie LiteLLM installieren und einsetzen können und machen sich keine Gedanken über Abhängigkeiten sowie Sicherheit. Ich habe jetzt diesemnPhemex-Beitrag gefunden – auf der Plattform geht es um Kryptowährungen. Dort heißt es, dass der obige Vorfall dazu geführt habe, dass etwa 300 GByte an Daten sowie 500.000 Zugangsdaten geführt habe. Die Leute sollten ihre Zugangsdaten für Online-Konten und Krypto-Wallets ändern.

Im Beitrag How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM analysiert Stephen Thoemmes die Infektion. Der Angreifer, der unter dem Alias TeamPCP agiert, konnte sich die PyPI-Zugangsdaten des Paket-Maintiners durch einen früheren Angriff auf Trivy verschaffen. Trivy ist ein Open-Source-Sicherheitsscanner, der in der CI/CD-Pipeline von LiteLLM zum Einsatz kommt. Laut diesem Beitrag ist das jetzt das zweite Mal, dass Trivy (jetzt in der v0.69.4) kompromittiert wurde.