Ein Angriff auf die Python-Paketinfrastruktur hat zu einer massiven Sicherheitslücke geführt. Sicherheitsforscher entdeckten am 24. März eine bösartige Backdoor in zwei Versionen des populären KI-Tools LiteLLM. Die Versionen 1.82.7 und 1.82.8 enthielten einen hochgefährlichen Credential-Stealer.
Der aktuelle Angriff auf LiteLLM verdeutlicht die massiven Sicherheitsrisiken beim Einsatz von KI-Systemen in Unternehmen. Dieser kostenlose Leitfaden zur EU-KI-Verordnung hilft Ihnen dabei, die neuen gesetzlichen Anforderungen an Dokumentation und Risikoklassifizierung rechtssicher umzusetzen. Kostenlosen Umsetzungsleitfaden jetzt herunterladen
Innerhalb von nur 46 Minuten wurden die kompromittierten Pakete fast 47.000 Mal heruntergeladen. Erst dann konnte das PyPI-Team reagieren und die Dateien unter Quarantäne stellen. Der Schadcode zielte gezielt auf sensible Zugangsdaten aus Entwicklerumgebungen und Cloud-Infrastrukturen ab.
Angriffswelle trifft KI-Entwicklung
Hinter dem Vorfall steckt die Hackergruppe TeamPCP. Der Angriff auf LiteLLM ist der Höhepunkt einer fünftägigen Kampagne. Sie begann am 19. März mit der Kompromittierung von Trivy, einem weit verbreiteten Sicherheitsscanner.
Über manipulierte GitHub Actions erlangten die Angreifer Zugriff auf Geheimnisse in CI/CD-Umgebungen. Darunter war ein PyPI-Publishing-Token für LiteLLM. Mit diesem legitimen Zugang konnten sie die bösartigen Versionen direkt auf den offiziellen Server hochladen.
Die Attacke zeigt das enorme Risiko in modernen Software-Lieferketten. Die Kompromittierung eines einzigen Werkzeugs kann Tausende nachgelagerte Projekte gefährden.
Heimtückischer .pth-Mechanismus
Die technische Umsetzung der Backdoor war besonders tückisch. Version 1.82.8 nutzte eine sogenannte „.pth-File-Injection“. Über die Datei litellm_init.pth wurde der Schadcode so integriert, dass er bei jedem Python-Start automatisch ausgeführt wurde – selbst ohne Import der Bibliothek.
Herkömmliche Code-Analysen, die nur den Import-Graphen prüfen, übersahen die Gefahr so leicht. Der dreistufige Payload sammelte zunächst Systeminformationen und prüfte auf Sandbox-Umgebungen.
In der zweiten Stufe aktivierte sich ein umfassender Credential-Scanner. Er durchsuchte das System nach SSH-Keys, Cloud-Konfigurationen für AWS, Google Cloud und Azure sowie nach Kubernetes-Tokens und Datenbank-Passwörtern. Sogar Kryptowährungs-Wallets und Zugangsdaten für Slack oder Discord standen im Fokus.
Die gestohlenen Daten wurden verschlüsselt an die Domain models.litellm.cloud gesendet – eine täuschend echte Adresse.
47.000 Downloads in Rekordzeit
Die bösartigen Pakete waren nur zwei bis fünf Stunden auf PyPI verfügbar. Doch in der intensivsten Phase verzeichneten sie 46.996 Installationen. Laut Sicherheitsanalysten von FutureSearch hätten 88 Prozent aller von LiteLLM abhängigen Projekte die infizierten Versionen bezogen, wenn sie in diesem Zeitraum ein Update durchgeführt hätten.
Besonders betroffen waren Umgebungen, die pip ohne feste Versionsbindung nutzten. Entwickler mit strikten Lock-Files wie uv oder Poetry waren besser geschützt – vorausgesetzt, sie aktualisierten nicht genau während des Angriffsfensters.
Entdeckt wurde der Angriff erst, als ein Entwickler bei Latent Space einen Systemabsturz untersuchte. Das PyPI-Sicherheitsteam stellte die Pakete innerhalb von 46 Minuten nach der Warnung unter Quarantäne.
Dringende Maßnahmen für Betroffene
Für alle, die LiteLLM nutzen, besteht jetzt dringender Handlungsbedarf. Das bloße Löschen der Pakete reicht nicht aus. Die Malware kann Persistenzmechanismen wie systemd-Backdoors etablieren.
Wer die Versionen 1.82.7 oder 1.82.8 installiert hat, muss von kompromittierten Geheimnissen ausgehen. Sicherheitsexperten empfehlen die sofortige Rotation aller API-Schlüssel, Cloud-Zugangsdaten und SSH-Keys.
Betroffene Systeme sollten auf ungewöhnliche Netzwerkaktivitäten und neue Autostart-Einträge untersucht werden. Besondere Vorsicht ist bei Kubernetes-Clustern geboten: Der Schadcode enthielt Module für laterale Bewegungen in Container-Netzwerken.
Die LiteLLM-Maintainer haben alle betroffenen Tokens widerrufen und eine externe Sicherheitsfirma mit der Untersuchung beauftragt.
Wendepunkt für KI-Sicherheit
Der Vorfall markiert eine neue Ära der Lieferketten-Angriffe auf KI-Tools. LiteLLM fungiert als kritische Abstraktionsschicht für über 100 Sprachmodelle und wird millionenfach genutzt. Als Middleware hat die Bibliothek Zugriff auf hochsensible API-Keys von Diensten wie OpenAI oder Anthropic.
Angreifer wie TeamPCP können so wertvolle Daten abgreifen, ohne die Sicherheitsbarrieren großer Cloud-Anbieter direkt zu durchbrechen. Die Komplexität solcher Attacken nimmt zu: Statt einfachem Typosquatting kompromittieren sie zunehmend die CI/CD-Infrastruktur der Maintainer selbst.
Der Fall zeigt, wie eine Schwachstelle in einem Sicherheits-Scanner das Vertrauen in ein ganzes Ökosystem untergraben kann.
Da Hacker zunehmend die Infrastruktur von KI-Anbietern ins Visier nehmen, steigen auch die regulatorischen Anforderungen an die IT-Sicherheit massiv an. Erfahren Sie in diesem kostenlosen E-Book, welche neuen Gesetze und Sicherheitsvorgaben Sie als Geschäftsführer im Jahr 2024 kennen müssen. Cyber Security Experten-Report kostenlos anfordern
Verschärfte Sicherheitsvorgaben erwartet
In den kommenden Monaten dürften die Anforderungen für öffentliche Repositories steigen. PyPI könnte die Veröffentlichung populärer Pakete nur noch mit kurzlebigen Identitätstoken (OIDC) statt langlebigen API-Keys erlauben.
Experten fordern eine stärkere Verbreitung von signierten Commits und fälschungssicheren Build-Nachweisen. So ließe sich die Herkunft von Softwarepaketen zweifelsfrei belegen.
TeamPCP bleibt ein aktiver Risikofaktor. Die gestohlenen Daten könnten für weitere gezielte Attacken auf Cloud-Infrastrukturen genutzt werden. Sicherheitsbehörden warnen vor einer möglichen zweiten Angriffswelle.
Unternehmen sollten ihre Abhängigkeiten nicht nur scannen, sondern durch Version-Pinning und private Spiegel-Server aktiv kontrollieren. Die Ära des blinden Vertrauens in Open-Source-Repositories scheint vorbei.
