Supply chain útok zasáhl Python balíček LiteLLM. Škodlivé verze kradly klíče a šířily se Kubernetes prostředím

Kompromitované verze byly publikovány na PyPI

Bezpečnostní společnosti Endor Labs, JFrog a Wiz upozornily, že balíček LiteLLM na PyPI byl 24. března 2026 publikován ve dvou škodlivých verzích — 1.82.7 a 1.82.8. Obě verze byly následně odstraněny nebo zablokovány. Podle Endor Labs je poslední známá čistá verze 1.82.6.

LiteLLM je populární open source knihovna používaná pro práci s více poskytovateli velkých jazykových modelů přes jednotné API. Právě její rozšířenost z incidentu dělá významný supply chain problém.

Co malware dělal

Podle zveřejněných analýz šlo o vícefázový útok. Škodlivý kód sbíral citlivá data ze systému, včetně SSH klíčů, cloudových přístupových údajů, Kubernetes tokenů, .env souborů, Docker konfigurací nebo dalších tajemství dostupných v prostředí.

Získaná data byla následně exfiltrována na útočníkem kontrolovanou infrastrukturu. Výzkumníci v souvislosti s útokem uvádějí zejména domény models.litellm[.]cloud a checkmarx[.]zone/raw.

V Kubernetes prostředí malware navíc využíval service account token, enumeroval uzly clusteru a snažil se na ně nasadit privilegované pody. Ty pak měly zajistit další šíření a instalaci perzistence na úrovni hostitelského systému.

Verze 1.82.8 byla ještě nebezpečnější

Zatímco verze 1.82.7 obsahovala škodlivý kód v souboru litellm/proxy/proxy_server.py a spouštěla payload při importu konkrétního modulu, verze 1.82.8 přidala i soubor litellm_init.pth.

Právě to z ní dělalo výrazně nebezpečnější variantu. .pth soubory v Python prostředí mohou být zpracovány automaticky při startu interpreteru, takže škodlivý kód se mohl spustit při běhu Pythonu i bez explicitního importu LiteLLM.

Původ kompromitace

Podle vyjádření maintainera LiteLLM došlo ke kompromitaci PyPI publishing přístupu a škodlivé verze nebyly vydány standardní oficiální GitHub CI/CD cestou. Současně výzkumníci z Wiz uvedli, že PyPI advisory spojuje incident s API tokenem vystaveným při předchozí kompromitaci Trivy.

Nejpřesnější je proto říct, že útok na LiteLLM byl součástí širší navazující kampaně TeamPCP, která využívá dříve získané přístupy a postupně se šíří napříč dalšími nástroji a registry.

Proč je incident důležitý

Podle Wiz se LiteLLM nachází přibližně v 36 % cloudových prostředí, což výrazně zvyšuje potenciální dopad incidentu. Pokud byl balíček nasazen v CI/CD, v kontejnerech nebo v produkčním Kubernetes prostředí, mohl útočník získat přístup k dalším systémům, tajemstvím a infrastruktuře.

Incident tak dobře ukazuje, jak rychle se může supply chain kompromitace přenést z jednoho nástroje do dalších částí moderního cloud-native a AI stacku.

Co by měli správci udělat

Organizace by měly okamžitě zkontrolovat, zda někde neinstalovaly nebo nespustily verze 1.82.7 nebo 1.82.8. Pokud ano, je nutné takové prostředí izolovat, prověřit známky kompromitace, zkontrolovat podezřelé pody v Kubernetes a analyzovat odchozí komunikaci směrem k uvedeným doménám.

Zároveň je potřeba považovat všechny dostupné přístupové údaje v dotčeném prostředí za potenciálně kompromitované a provést jejich rotaci.

Shrnutí

LiteLLM je další obětí kampaně TeamPCP, která se během několika dní rozšířila napříč více částmi open source ekosystému. Nejde jen o jeden škodlivý balíček, ale o ukázku řetězového supply chain útoku, kde kompromitace jednoho nástroje otevírá cestu k dalším.

Pro týmy, které LiteLLM používají v AI, cloudových nebo Kubernetes prostředích, jde o incident s velmi praktickým dopadem: je potřeba rychle ověřit verze, prověřit infrastrukturu a počítat s tím, že některé přístupy mohly uniknout.