{"id":322951,"date":"2026-03-25T12:26:37","date_gmt":"2026-03-25T11:26:37","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322951"},"modified":"2026-03-25T17:57:52","modified_gmt":"2026-03-25T16:57:52","slug":"python-paket-mit-96-millionen-downloads-ueber-simplen-befehl-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/25\/python-paket-mit-96-millionen-downloads-ueber-simplen-befehl-infiziert\/","title":{"rendered":"Python-Paket mit 96 Millionen Downloads \u00fcber simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen?"},"content":{"rendered":"

\"SicherheitEs gibt mal wieder einen \"Lieferkettenangriff\" – dieses Mal auf ein (AI) Python-Paket, welches 96 Millionen mal heruntergeladen wurde und entsprechend breit eingesetzt wird. Einem Angreifer ist es gelungen, das Paket zu manipulieren, so dass dieser mit einem simplen pip install<\/em>-Befehl in der Lage war, alles auf dem Computer des Opfers zu stehlen, was dort an Geheimnissen (SSH-Keys, AWS-Credentials etc.) gespeichert ist. Es ist davon auszugehen, dass eine halbe Million sensitive Zugangsdaten abgeflossen sind.<\/p>\n


\n\"\"Zur Einordnung: LiteLLM ist ein Open-Source-LLM-Gateway, welches zur Verwaltung\u00a0 der Authentifizierung, zum Lastenausgleich und zur Kosten\u00fcberwachung f\u00fcr \u00fcber 100 LLMs eingesetzt werden kann. Das Paket benutzt dazu das OpenAI-Format und ist wohl in Python geschrieben. Nun ist es jemandem gelungen, dieses Paket zu kompromittieren.<\/p>\n

Initiale Warnung vor kompromittiertem LiteLLM<\/h2>\n

Der initiale Tweet<\/a> von Daniel Hnyk, der mir untergekommen ist, warnt, dass LitLLM kompromittiert sei, und man das Paket keinesfalls aktualisieren sollte.<\/p>\n

\"Warnung<\/a><\/p>\n

Daniel schrieb zum gestrigen 24. M\u00e4rz 2026, dass sie gerade festgestellt h\u00e4tten, dass die PyPI-Version 1.82.8 von LiteLLM kompromittiert wurde. Sie enth\u00e4lt die Datei \"litellm_init.pth<\/em>\" mit Base64-kodierten Anweisungen, die alle gefundenen Anmeldedaten an einen Remote-Server senden. Die Anweisungen enthalten zudem Code, um sich selbst zu replizieren. Daniel Hnyk hat dann auf den Beitrag Supply Chain Attack in litellm 1.82.8 on PyPI<\/a> von futuresearch.ai<\/em> verlinkt, wo es weitere Informationen gibt.<\/p>\n

Gegen 10:52 Uhr UTC wurde am 24. M\u00e4rz 2026 die Version 1.82.8 von litellm<\/em> auf PyPI ver\u00f6ffentlicht, schreiben die Sicherheitsforscher. Die Version enth\u00e4lt eine sch\u00e4dliche .pth<\/em>-Datei (litellm_init.pth<\/em>), die bei jedem Start eines Python-Prozesses automatisch ausgef\u00fchrt wird, wenn litellm<\/em> in der Umgebung installiert ist. Im litellm<\/em>-GitHub-Repository gibt es keinen entsprechenden Tag oder Release \u2013 das Paket scheint laut Experten direkt, unter Umgehung des normalen Release-Prozesses, auf PyPI hochgeladen worden zu sein. Sp\u00e4ter wurde mitgeteilt, dass auch die \u00e4ltere Instanz version 1.82.7 kompromittiert sei.<\/p>\n

Die Experten haben das Paket entdeckt, als es von einem \"in Cursor laufenden\" MCP-Plugin als transitive Abh\u00e4ngigkeit eingelesen wurde.\u00a0Cursor ist ein AI-gest\u00fctzter Code -Editor.\u00a0 Aufgefallen ist es, da der .pth<\/em>-Launcher \u00fcber subprocess.Popen<\/em> einen untergeordneten Python-Prozess startet. Da .pth<\/em>-Dateien bei jedem Start des Interpreters ausgel\u00f6st werden, gab es so etwas wie eine Rekursion, da der untergeordnete Prozess dieselbe .pth<\/em>-Datei erneut aufruft. Es entstand eine exponentielle Fork-Bombe, die den Rechner zum Absturz brachte, merken die Forscher an. Dieses Verhalten ist eigentlich ein Fehler in der Malware.<\/p>\n

Im Beitrag Supply Chain Attack in litellm 1.82.8 on PyPI<\/a> gehen die Experten davon aus, dass der Autor des litellm<\/em>-Pakets kompromittiert ist, da die GitHub-Instanz von Bots \u00fcberflutet und geschlossen wurde.<\/p>\n

Schadsoftware sammelt Geheimnisse<\/h2>\n

Die wahre Dimension dieses Lieferkettenangriffs auf das litellm<\/em>-GitHub-Repository wird durch den Tweet<\/a> von Andrej Karpathy deutlich, der von einem \"Software-Horror\" spricht.<\/p>\n

\"liteLLM<\/a><\/p>\n

Ein einfaches `pip install litellm` reichte aus, um SSH-Schl\u00fcssel, AWS-\/GCP-\/Azure-Anmeldedaten, Kubernetes-Konfigurationen, Git-Anmeldedaten, Umgebungsvariablen (alle Ihre API-Schl\u00fcssel), den Shell-Verlauf, Krypto-Wallets, private SSL-Schl\u00fcssel, CI\/CD-Geheimnisse und Datenbankpassw\u00f6rter zu stehlen.<\/p>\n

Laut Karpathy hat LiteLLM selbst 97 Millionen Downloads pro Monat. Das sei schon schlimm genug. Aber es kommt hinzu, dass sich die Infektion auf jedes Projekt ausbreitet, das von litellm abh\u00e4ngt. Wenn ein Benutzer beispielsweise `pip install dspy` ausgef\u00fchrt\u00a0 habe (das sei von litellm>=1.64.0 abh\u00e4ngig), ist dessen System ebenfalls kompromittiert. Das Gleiche gilt f\u00fcr jedes andere gro\u00dfe Projekt, das von litellm abh\u00e4ngig war, schreibt Karpathy. Er gibt an, dass die manipulierte Version nach seinem Wissen weniger als etwa eine Stunde lang verf\u00fcgbar war (ich habe die Zeitangabe 3 Stunden gelesen). Ohne den oben beschriebenen Bug w\u00e4re die Schadsoftware \u00fcber Tage, Wochen oder Monate unentdeckt geblieben.<\/p>\n

Karpathy schreibt, dass Supply-Chain-Angriffe wie dieser im Grunde das Be\u00e4ngstigendste seien, was man sich in der modernen Software vorstellen kann. Jedes Mal, wenn man eine Abh\u00e4ngigkeit installiert, k\u00f6nnte man ein manipuliertes Paket irgendwo tief im gesamten Abh\u00e4ngigkeitsbaum einbinden. Dies ist besonders riskant bei gro\u00dfen Projekten, die m\u00f6glicherweise sehr viele Abh\u00e4ngigkeiten haben. Die bei jedem Angriff gestohlenen Anmeldedaten k\u00f6nnen dann verwendet werden, um weitere Konten zu \u00fcbernehmen und weitere Pakete zu kompromittieren.<\/p>\n

Ich meine: Das interessiert doch derzeit keinen Menschen, wenn man sich die letzten \"Unf\u00e4lle\" im Umfeld von KI-Paketen anschaut. Die Leute freuen sich, wenn sie so etwas wie LiteLLM installieren und einsetzen k\u00f6nnen und machen sich keine Gedanken \u00fcber Abh\u00e4ngigkeiten sowie Sicherheit. Ich habe jetzt diesemnPhemex-Beitrag<\/a> gefunden – auf der Plattform geht es um Kryptow\u00e4hrungen. Dort hei\u00dft es, dass der obige Vorfall dazu gef\u00fchrt habe, dass etwa 300 GByte an Daten sowie 500.000 Zugangsdaten gef\u00fchrt habe. Die Leute sollten ihre Zugangsdaten f\u00fcr Online-Konten und Krypto-Wallets \u00e4ndern.<\/p>\n

Im Beitrag\u00a0How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM<\/a> analysiert Stephen Thoemmes die Infektion. Der Angreifer, der unter dem Alias TeamPCP agiert, konnte sich die PyPI-Zugangsdaten des Paket-Maintiners durch einen fr\u00fcheren Angriff auf Trivy<\/a> verschaffen. Trivy ist ein Open-Source-Sicherheitsscanner, der in der CI\/CD-Pipeline von LiteLLM zum Einsatz kommt. Laut diesem Beitrag<\/a> ist das jetzt das zweite Mal, dass Trivy (jetzt in der\u00a0v0.69.4)\u00a0kompromittiert wurde.<\/p>\n

Noch einige Informationen<\/h2>\n

Erg\u00e4nzungen:<\/strong> International Cyber Digest schreibt in obigem Post<\/a>, von\u00a0TeamPCP, dem Angreifer auf Trivy und LiteLLM kontaktiert worden zu sein. TeamPCP behauptet, dass er Daten von mehreren milliardenschweren Unternehmen abgezogen hat und diese Firmen erpresst.<\/p>\n

\"TeamPCP<\/a><\/p>\n

Es wurden die oben bereits erw\u00e4hnten 300 GByte Daten und 500.000 Zugangsdaten als erbeutet genannt. Man arbeite diese Daten gerade ab. Es hei\u00dft, der Angreifer habe sich mit anderen Angreifern, darunter Xploiters und Vect, zusammengetan.<\/p>\n

\"Zertifizierung<\/p>\n

Es gibt noch einen weiteren Tweet<\/a>, der mir untergekommen ist, den ich aber fachlich nicht so ganz einordnen kann.\u00a0Gergely Orosz spielt in seinem ironischen Post darauf an, dass LiteLLM durch Delve als \"sicher\" (gem\u00e4\u00df SOC 2 Type 1 und ISO 27001) zertifiziert wurde.<\/p>\n

Delve ist ein Startup f\u00fcr Compliance-Audits, wird aber derzeit mit Vorw\u00fcrfen konfrontiert, gef\u00e4lschte Berichte zu liefern. Ich habe bei einer Suche diesen Artikel<\/a> gefunden, der nicht gut klingt. Er geht zwar auf einen Whistle-Blower unter den Kunden zur\u00fcck, wirft aber kein gutes Licht auf den Anbieter.<\/p>\n","protected":false},"excerpt":{"rendered":"

Es gibt mal wieder einen \"Lieferkettenangriff\" – dieses Mal auf ein (AI) Python-Paket, welches 96 Millionen mal heruntergeladen wurde und entsprechend breit eingesetzt wird. Einem Angreifer ist es gelungen, das Paket zu manipulieren, so dass dieser mit einem simplen pip … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,7263,426,7459],"tags":[8382,1171,4328,3836],"class_list":["post-322951","post","type-post","status-publish","format-standard","hentry","category-ai","category-cloud","category-sicherheit","category-software","tag-ai","tag-cloud","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322951","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322951"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322951\/revisions"}],"predecessor-version":[{"id":322976,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322951\/revisions\/322976"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322951"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322951"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322951"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}