litellm, PyPI и цепочка атак, которая ещё не закончена 24 марта года в PyPI появилась заражённая версия litellm 1.82.8. Один pip install — и злоумышленники получали всё: SSH-ключи, AWS/GCP/Azure credentials, Kubernetes-конфиги, API-ключи, историю shell, криптокошельки, пароли баз данных. За атакой стоит группировка TeamPCP. Цепочка взломов за одну неделю: → 19 марта — Trivy (сканер безопасности Aqua Security) → 23 марта — KICS GitHub Action от Checkmarx → 24 марта — litellm на PyPI Пять экосистем: GitHub Actions, Docker Hub, npm, Open VSX, PyPI. Паттерн один и тот же: каждый взлом даёт credentials для следующего. litellm попал под удар именно потому, что использовал Trivy в своём CI/CD — и через него утекли PyPI-токены. Своеобразная визитная карточка: в форке репозитория litellm TeamPCP оставили коммит с текстом «teampcp owns BerriAI». litellm — 97 млн скачиваний в месяц, транзитивная зависимость в dspy, десятках MCP-серверов и AI-фреймворков. Вы могли никогда не слышать про litellm, но сделать pip install dspy — и получить тот же результат. Любой пакет, зависящий от litellm, был вектором атаки. Обнаружили случайно, примерно через час: у разработчика упала машина по OOM — заражённый .pth файл форкал процессы экспоненциально. Официальной атрибуции нет. Но охота за crypto wallets и cloud credentials — фирменный почерк Lazarus. «Цепочка поставок open source рушится сама в себя» — Gal Nagli, Wiz @gostev_future