A LiteLLM AI proxyt feltörték, a malware Kubernetes clusteren terjed
Callum McMahon biztonsági kutató fedezte fel a támadást, ami legalább két verzióban, a 1.82.7 és 1.82.8-ban okozott károkat.
A nyílt forráskódú LiteLLM AI proxyt feltörték, amikor a 1.82.7 és 1.82.8 verziók tartalmazó csomagot malware fertőzte meg a PyPI-n keresztül. Callum McMahon, a Futuresearch biztonsági kutatója, 2026. március 24-én derítette ki, hogy a két frissítésben szereplő kód nem egyezik a GitHub hivatalos repóval, és a kártékony kód SSH‑kulcsokat, felhő‑ és adatbázis jelszavakat, valamint Kubernetes‑konfigurációkat lopott, titkosítva továbbítva a harmadik fél szervereire.
A támadás felfedezése egy crash miatt történt a Cursor kódszerkesztőben, ami azt jelenti, hogy a LiteLLM beépítése a fejlesztők mindennapi munkafolyamatába befolyásolta a sebezhetőséget. A malware nem csak adatokat lop, hanem terjed a Kubernetes clusterokon belül, állandó backdoor‑okat telepítve, így a támadók hosszú távon is hozzáférhetnek a rendszerekhez.
McMahon szerint a LiteLLM szerzője „nagyon valószínűleg teljesen kompromittálva” lett. Az érintett felhasználóknak azonnal meg kell forgatniuk minden kulcsot és jelszót, amely a csomag által használt infrastruktúrában szerepel. A részletek a GitHub‑on érhetők el, ahol a kutató megosztja a kódrészleteket és a támadás mechanizmusát.
NVIDIA AI Director Jim Fan a cselekményt „pürítetlen rémálom” névvel jellemezte, figyelmeztetve, hogy a fertőzött fájlok minden szövegfájlt támadási felületnek tehetnek, és a rosszindulatú AI ügynök képes lehet a felhasználó nevében minden fiókot átvenni. Fan a szűk, egyéni megoldások fejlesztését javasolja, hogy csökkentsék a függőségi láncok kockázatát.
A LiteLLM esetében a következő napokban várható a hivatalos biztonsági frissítés, amely a sérülékenységeket javítja. A fejlesztőknek és felhasználóknak figyelemmel kell kísérniük a GitHub és PyPI közleményeit, illetve a javasolt kulcsforgatási eljárásokat, hogy megakadályozzák a további adatlopásokat.