Атака на библиотеку LiteLLM: вредоносные версии в PyPI крадут данные из рабочих директорий

Ключевая библиотека для работы с языковыми моделями, LiteLLM, стала целью изощренной атаки класса supply chain. Злоумышленники, взломав учетную запись мейнтейнера проекта, загрузили в официальный репозиторий PyPI две вредоносные версии пакета — 1.82.7 и 1.82.8. Это классическая атака на цепочку поставок, когда компрометация одного звена (разработчика) позволяет отравить исходный код для тысяч зависимых проектов.

Согласно отчету экспертов «Лаборатории Касперского», в версии 1.82.7 вредоносный код был встроен в файл `proxy_server.py`. В обновленной версии 1.82.8 атака стала еще более скрытной: был добавлен `.pth`-файл, обеспечивающий выполнение зловреда при каждом запуске интерпретатора Python, даже если сама библиотека LiteLLM не используется. После активации скрипт начинает рекурсивный обход рабочих директорий на системе жертвы, просматривает содержимое файлов и сохраняет его для последующей отправки на командный сервер злоумышленников.

Инцидент создает серьезные риски для всей экосистемы разработки на Python, особенно для проектов, интегрирующих различные языковые модели через LiteLLM. Зараженные пакеты могли быть автоматически установлены в production-среды, что ведет к утечке конфиденциальных данных, включая исходный код, конфигурационные файлы и ключи API. Атака подчеркивает уязвимость инфраструктуры с открытым исходным кодом к целевым компрометациям и требует от разработчиков срочной проверки зависимостей и версий установленных пакетов.