Litellm PyPI 패키지가 위협받음: 악성 버전 1.82.8이 자격 증명을 유출시켰습니다

보안 경고: Litellm 패키지 손상 사건

월간 약 9,700만 건의 다운로드를 기록하며 OpenAI, Anthropic, Cohere 및 기타 LLM 제공업체에 대한 API 호출을 통합하는 데 사용되는 litellm Python 패키지가 PyPI에서 손상되었습니다. 악성 버전(1.82.8)이 업로드되어 영향을 받은 시스템에서 민감한 데이터를 유출했습니다.

무슨 일이 있었나요

약 1시간 동안 pip install litellm을 실행하거나 이에 의존하는 패키지(예: DSPy)를 설치하면 데이터 유출이 트리거되었습니다. 악성 버전은 다음을 수집했습니다:

• SSH 키
• AWS, GCP, Azure 자격 증명
• Kubernetes 구성 파일
• Git 자격 증명 및 셸 기록
• 모든 환경 변수(API 키 및 비밀 포함)
• 암호화폐 지갑 정보
• SSL 개인 키
• CI/CD 비밀

이 공격은 한 사용자의 시스템이 충돌하면서 발견되었습니다. Andrej Karpathy는 이를 "현대 소프트웨어에서 상상할 수 있는 가장 무서운 일"이라고 표현했습니다.

즉각적인 조치 필요

어제 Python 패키지를 설치했다면(특히 DSPy 또는 litellm에 의존하는 도구), 자격 증명이 손상되었다고 가정해야 합니다. 다음을 수행해야 합니다:

• 잠재적으로 영향을 받을 수 있는 모든 자격 증명을 즉시 교체하세요
• litellm 1.82.8 버전에 대한 패키지 버전을 확인하세요
• 특정 조치 단계를 확인하려면 소스의 전체 분석을 검토하세요

악성 버전은 PyPI에서 제거되었지만, 패키지가 활성화된 1시간 동안 자격 증명이 이미 도난당했을 수 있습니다.