LiteLLM 1.82.8 obsahuje malware kradoucí přihlašovací údaje
Populární Python knihovna litellm, která slouží jako jednotné rozhraní k desítkám LLM modelů (OpenAI, Anthropic, Gemini a dalším), se v pátek 24. března 2026 ocitla v centru vážného bezpečnostního incidentu. Verze 1.82.8 dostupná na PyPI obsahuje škodlivý soubor, který automaticky spouští kód kradoucí přihlašovací údaje a to bez toho, aby uživatel knihovnu vůbec naimportoval.
Jak útok funguje
Balíček litellm==1.82.8 obsahuje soubor litellm_init.pth o velikosti 34 628 bajtů. Soubory s příponou .pth v adresáři site-packages jsou součástí standardního mechanismu Pythonu – interpret je načítá automaticky při každém spuštění. Útočníci toho zneužili tak, že do .pth souboru vložili příkaz, který spustí dvakrát zakódovaný (base64) payload.
Stačí tedy mít nainstalovanou knihovnu a škodlivý kód se spustí při každém python příkazu na daném stroji, bez ohledu na to, zda litellm vůbec používáte.
Co malware sbírá
Po spuštění payload systematicky shromažďuje:
- Všechny proměnné prostředí (API klíče, tokeny, hesla)
- SSH klíče (
~/.ssh/id_rsa,id_ed25519a další) - Přihlašovací údaje AWS, GCP, Azure a Kubernetes
- Docker konfiguraci
- Git credentials,
.npmrc,.netrca další config soubory - Historie shellu (bash, zsh, MySQL, psql…)
- Kryptoměnové peněženky (Bitcoin, Ethereum, Solana a další)
Exfiltrace dat
Sebraná data jsou zašifrována pomocí AES-256, šifrovací klíč je následně zašifrován hardcodovaným 4096bitovým RSA veřejným klíčem útočníka, a celý archiv je odeslán na adresu https://models.litellm.cloud/ – doménu, která záměrně imituje oficiální doménu projektu litellm.ai.
Co dělat, pokud jste měli nainstalovánu verzi 1.82.8
Okamžitě zkontrolujte přítomnost souboru litellm_init.pth ve svém Python prostředí:
bash
find /usr -name "litellm_init.pth" <strong>2</strong>>/dev/null
find ~/.local -name "litellm_init.pth" <strong>2</strong>>/dev/nullCode language: JavaScript (javascript)Pokud soubor najdete, je nutné:
- Odinstalovat postiženou verzi:
pip uninstall litellm - Neprodleně rotovat veškeré přihlašovací údaje dostupné na daném stroji – API klíče, SSH klíče, cloudové credentials
- Zkontrolovat CI/CD pipeline a produkční servery, kde mohla být verze 1.82.8 použita
Incident byl nahlášen přímo autorům projektu (BerriAI) i týmu PyPI. Pokud jste knihovnu litellm používali a máte verzi 1.82.8, považujte všechny přihlašovací údaje na daném stroji za kompromitované.
Původní zpráva: https://github.com/BerriAI/litellm/issues/24512
Adam Heglas
Student se zájmem o IT, programování a kybernetickou bezpečnost. Baví mě se učit novým věcem a posouvat své schopnosti dál. Když zrovna nesedím u kódu, věnuji se fitness a počítačovým hrám.
