Populární Python knihovna litellm, která slouží jako jednotné rozhraní k desítkám LLM modelů (OpenAI, Anthropic, Gemini a dalším), se v pátek 24. března 2026 ocitla v centru vážného bezpečnostního incidentu. Verze 1.82.8 dostupná na PyPI obsahuje škodlivý soubor, který automaticky spouští kód kradoucí přihlašovací údaje a to bez toho, aby uživatel knihovnu vůbec naimportoval.

Jak útok funguje

Balíček litellm==1.82.8 obsahuje soubor litellm_init.pth o velikosti 34 628 bajtů. Soubory s příponou .pth v adresáři site-packages jsou součástí standardního mechanismu Pythonu – interpret je načítá automaticky při každém spuštění. Útočníci toho zneužili tak, že do .pth souboru vložili příkaz, který spustí dvakrát zakódovaný (base64) payload.

Stačí tedy mít nainstalovanou knihovnu a škodlivý kód se spustí při každém python příkazu na daném stroji, bez ohledu na to, zda litellm vůbec používáte.

Co malware sbírá

Po spuštění payload systematicky shromažďuje:

• Všechny proměnné prostředí (API klíče, tokeny, hesla)
• SSH klíče (~/.ssh/id_rsa, id_ed25519 a další)
• Přihlašovací údaje AWS, GCP, Azure a Kubernetes
• Docker konfiguraci
• Git credentials, .npmrc, .netrc a další config soubory
• Historie shellu (bash, zsh, MySQL, psql…)
• Kryptoměnové peněženky (Bitcoin, Ethereum, Solana a další)

Exfiltrace dat

Sebraná data jsou zašifrována pomocí AES-256, šifrovací klíč je následně zašifrován hardcodovaným 4096bitovým RSA veřejným klíčem útočníka, a celý archiv je odeslán na adresu https://models.litellm.cloud/ – doménu, která záměrně imituje oficiální doménu projektu litellm.ai.

Co dělat, pokud jste měli nainstalovánu verzi 1.82.8

Okamžitě zkontrolujte přítomnost souboru litellm_init.pth ve svém Python prostředí:

bash

find /usr -name "litellm_init.pth" <strong>2</strong>>/dev/null
find ~/.local -name "litellm_init.pth" <strong>2</strong>>/dev/nullCode language: JavaScript (javascript)

Pokud soubor najdete, je nutné:

1. Odinstalovat postiženou verzi: pip uninstall litellm
2. Neprodleně rotovat veškeré přihlašovací údaje dostupné na daném stroji – API klíče, SSH klíče, cloudové credentials
3. Zkontrolovat CI/CD pipeline a produkční servery, kde mohla být verze 1.82.8 použita

Incident byl nahlášen přímo autorům projektu (BerriAI) i týmu PyPI. Pokud jste knihovnu litellm používali a máte verzi 1.82.8, považujte všechny přihlašovací údaje na daném stroji za kompromitované.

Původní zpráva: https://github.com/BerriAI/litellm/issues/24512