Versjon 1.82.7 og 1.82.8 av LiteLLM, et populært Python-bibliotek for å kalle KI-modell-APIer, ble publisert med ondsinnet kode på PyPI. Angriperne brukte en .pth-fil i site-packages som kjørte kode automatisk hver gang Python-tolkeren startet, uavhengig av om LiteLLM ble importert direkte.
LiteLLM fungerer som en sentralisert KI-gateway som samler API-nøkler, budsjettkontroller og rutingsregler for flere modell-leverandører. Det gjør biblioteket til et høyverdimål: én kompromittert installasjon gir potensielt tilgang til alle tilkoblede leverandør-nøkler.
«Responders categorize poisoned dependency installations as high-risk credential exposure events rather than routine package maintenance» — LiteLLM maintainer advisory
Mercor, en KI-gateway brukt av flere store selskaper, bekreftet at de var blant de berørte. Meta pauset sine kontrakter med selskapet som følge av hendelsen.
Sjekk byggelogger og container-images for de berørte versjonene. Roter alle API-nøkler som var aktive i eksponeringsvinduet. Pin avhengigheter med hash-validering for å hindre at upinnede installasjoner trekker inn forgiftede pakker.