LiteLLM – Python‑библиотека для LLM, скачиваемая 97 млн раз в месяц. За этим «удобством» скрывался реальный риск: компрометированная версия 1.82.8 появилась на PyPI меньше часа и успела заразить десятки миллионов проектов через транзитивные зависимости (например, dspy>=1.64.0). Если ваш код хоть косвенно тянул litellm, обычный `pip install` уже стал точкой входа.
Как это работает? Пакет ставит файл litellm_init.pth с base64‑закодированными инструкциями, которые собирают всё: SSH‑ключи, токены AWS/GCP/Azure, конфиги Kubernetes, git‑учётные данные, переменные окружения, историю команд, криптовалютные кошельки, приватные SSL‑ключи, CI/CD‑секреты и пароли БД. Затем «доброжелательно» отправляют их на сервер злоумышленника. Любой сервер или рабочая станция, где был установлен пакет, превращается в утечку, способную нанести финансовый урон в миллионы долларов и разрушить репутацию.
Для руководителей это сигнал к действию: традиционный «зависимости‑кирпичики» уже не спасают. Нужно срочно провести аудит всех зависимостей, внедрить SBOM и фиксировать версии (пиновка). Автоматические сканеры цепочки поставок должны стать обязательным элементом CI/CD, иначе каждый новый `pip install` – потенциальный бекдор. Ограничьте привилегии сервисных аккаунтов и переходите на динамические секреты, чтобы утечка сразу теряла ценность.
Почему это важно сейчас? Одна уязвимость в популярном пакете может поставить под угрозу миллионы бизнес‑процессов. Если вы используете AI‑инструменты из открытых репозиториев, ваши данные уже находятся в зоне риска – игнорировать это значит оставлять дверь открытой для киберпреступников.