Ein schwerwiegender Sicherheitsvorfall im Bereich der Software-Lieferkette hat die PyPI-Plattform erschüttert. Das Paket litellm in der Version 1.82.8 enthält bösartige Code, der sich automatisch bei jedem Start der Python-Umgebung ausführt, ohne dass ein expliziter Import des Pakets erforderlich ist. Der Angriff nutzt eine manipulierte Datei namens litellm_init.pth, die vom offiziellen PyPI-Paket eingebunden wurde. Bei einem Installationsprozess der fehlerhaften Version wird diese spezielle Datei in das Systemverzeichnis kopiert. Sie funktioniert wie ein automatischer Skript-Läufer, der noch vor dem eigentlichen Programmstart aktiv wird. Eine detaillierte Analyse des Schadenscode zeigt, dass dieser doppelt Base64-kodiert ist. Nach der Dekodierung beginnt eine mehrstufige Phase zur Datenerfassung. Der Angriff zielt darauf ab, ein breites Spektrum an sensiblen Informationen vom kompromittierten Host zu extrahieren. Zu den gesammelten Daten gehören Systeminformationen wie Hostname, Benutzername und IP-Adressen. Zudem werden alle in der Umgebung gespeicherten Variablen ausgelesen, was in der Regel API-Schlüssel, Zugriffstoken und Geheimnisse einschließt. Der Code durchsucht gezielt nach SSH-Schlüsseln, Git-Anmeldeinformationen, Cloud-Credentials für AWS, GCP und Azure sowie Konfigurationsdateien für Kubernetes. Auch Docker-Dateien, Paketmanager-Einstellungen und Shell-Historien werden erfasst. Besonders kritisch ist der Zugriff auf Krypto-Wallet-Dateien, SSL/TLS-Private-Schlüssel sowie Konfigurationsdateien für CI/CD-Pipelines und Datenbanken. Selbst Webhook-URLs für Dienste wie Slack oder Discord werden automatisch identifiziert. Nach der Sammlung aller Daten erfolgt eine Verschlüsselung, bevor die Informationen das System verlassen. Die gesammelten Daten werden in einer temporären Datei gespeichert und mit AES-256 verschlüsselt. Ein zufälliger Sitzungsschlüssel, der ebenfalls aus einem OpenSSL-Befehl stammt, wird zudem mit einem fest codierten, 4096-Bit langen RSA-Public-Key verschlüsselt. Beide verschlüsselten Objekte werden in einem tar.gz-Archiv gepackt und an einen vom Angreifer kontrollierten Server übertragen. Dies stellt eine vollständige Komprimierung und Exfiltrierung der Daten dar. Die Auswirkungen dieses Angriffs sind erheblich. Alle Nutzer, die litellm in der Version 1.82.8 installiert haben, haben wahrscheinlich ihre gesamten Umgebungsvariablen, SSH-Schlüssel und Cloud-Zugangsdaten an Angreifer verloren. Die Sicherheit jedes Systems, auf dem diese spezifische Version ausgeführt wurde, ist kompromittiert. Es wird dringend empfohlen, die Version 1.82.8 auf PyPI sofort zu entfernen, um weitere Downloads zu verhindern. Betroffene Benutzer sollten umgehend prüfen, ob die Datei litellm_init.pth in ihrem site-packages-Verzeichnis existiert. Ist dies der Fall, muss der bösartige Code entfernt werden. Noch kritischer ist jedoch der sofortige Rotieren aller potenziell exponierten Anmeldeinformationen. Dazu gehören Umgebungsvariablen, Konfigurationsdateien und alle damit verbundenen API-Schlüssel. Diese Sicherheitsmaßnahme ist zwingend erforderlich, um den Missbrauch der gestohlenen Daten zu verhindern. Auch die Entwickler des Projekts, BerriAI, werden aufgefordert, ihre PyPI-Publishing-Anmeldeinformationen und CI/CD-Pipelines auf einen möglichen Kompromittierung zu untersuchen. Solche Vorfälle unterstreichen die Notwendigkeit strenger Sicherheitsüberprüfungen bei der Verteilung von Open-Source-Paketen. Die schnellere Identifizierung und Reaktion auf solche Bedrohungen in der Lieferkette bleibt eine zentrale Herausforderung für die gesamte Softwareentwicklung.