24 марта 2026 года исследователь Callum McMahon (Futuresearch) обнаружил, что последние две публикации открытого прокси‑слоя LiteLLM (версии 1.82.7 и 1.82.8) в PyPI – подделка. Официальный репозиторий GitHub о таких релизах молчал, а пакет уже начал «падать» в редакторе Cursor, сигнализируя о компромете.
Внутри – шпионский модуль, который выдирает SSH‑ключи, токены облачных провайдеров, пароли БД и kubeconfig‑файлы, шифрует их и слепо отсылает на внешний сервер. По словам McMahon, проект «очень вероятно полностью скомпрометирован», а значит любой клиент, полагающийся на публичный PyPI без верификации, уже в зоне риска.
Механика проста: после установки малвари в контейнере она сканирует под, выкачивает любые доступные секреты и сразу пытается «перепрыгнуть» к соседним подам, используя сервис‑аккаунты Kubernetes. Получается самораспространяющийся червь с постоянными бэкдорами – идеальный посредник для кражи инфраструктурных данных и последующего захвата облачных ресурсов. Nvidia AI Director Джим Фан назвал это «чистым ночным кошмаром», подчёркивая, что любой текстовый файл, попавший в контекст заражённого агента, становится новой точкой входа.
Что делать сейчас: отозвать заражённые пакеты из всех окружений, заменить их на проверенные сборки и провести полную ротацию секретов – SSH‑ключей, токенов облаков, паролей БД и kubeconfig‑файлов. На уровне CI/CD добавить сканирование образов контейнеров на неизвестные зависимости, внедрить изоляцию сторонних библиотек (SBOM, подписи пакетов). Если LiteLLM уже работает в продакшене, проверь логи на попытки соединения с незнакомыми эндпоинтами – это первый признак утечки данных.
Почему это важно: компрометация открытого прокси‑слоя сразу ставит под удар компании, использующие контейнеризацию и AI‑агенты для автоматизации. Утечка облачных креденшалов может привести к массовому выведению сервисов из строя и раскрытию конфиденциальной информации. Сократив зависимость от публичных цепочек поставки и внедрив строгий контроль подписей пакетов, ты снижаешь шанс повторения сценария и сохраняешь конкурентное преимущество в безопасном AI‑развертывании.