Пакет для вызова 100+ нейросетей крал ключи при запуске Python — под ударом тысячи разработчиков https://habr.com/ru/news/1014480/ В Python-пакете LiteLLM версий 1.82.7 и 1.82.8, который загружают с PyPI около 97 млн раз в месяц, обнаружен встроенный стилер учетных данных. Вредоносный код крал SSH-ключи, токены AWS, GCP и Azure, конфигурации Kubernetes, криптокошельки и все переменные окружения — то есть, по сути, все API-ключи, которые LiteLLM и должен хранить как шлюз к OpenAI, Anthropic и еще сотне LLM-провайдеров. Скомпрометированные версии уже удалены с PyPI, последняя чистая — 1.82.6. Атака сработала необычно: достаточно было просто установить пакет. В версии 1.82.8 вредоносный код запускался при каждом старте Python — не нужно было даже подключать библиотеку в своем проекте. Любой Python-скрипт на машине невольно активировал стилер. Собранные данные шифровались и отправлялись на домен models.litellm.cloud, замаскированный под официальный litellm.ai. В более ранней версии 1.82.7 малварь работала чуть скромнее — запускалась только при подключении библиотеки в коде. Всем, у кого LiteLLM 1.82.7 или 1.82.8 был установлен хотя бы на одной машине, рекомендуется считать все учетные данные скомпрометированными и заменить ключи. Проверить стоит и CI/CD-пайплайны: если в них стоял pip install litellm без пиннинга версии, скомпрометированный пакет мог подтянуться автоматически. Ирония в том, что LiteLLM — это шлюз для управления API-ключами к нейросетям. Атакующие выбрали пакет, который по определению имеет доступ ко всем LLM-ключам в организации. Отслеживать можно тут [Security]: litellm PyPI package (v1.82.7 + v1.82.8) compromised — full timeline and status https://github.com/BerriAI/litellm/issues/24518