LiteLLM diretas dalam serangan rantai pasok.
(futuresearch.ai)Mohon maklum karena saya menulis ini buru-buru lewat ponsel, jadi tidak sempat merapikan Markdown dengan baik.
Ada penjelasan rinci di blog futuresearch yang ditautkan pada judul, dan disebutkan bahwa versi 1.82.8 dan 1.82.7 terdampak serangan.
Sebaiknya segera periksa versi LiteLLM yang saat ini terpasang.
Saat ini, issue di GitHub yang mempertanyakan apakah ini peretasan juga ditutup oleh pengelola tanpa penjelasan, sehingga kemungkinan besar memang terjadi peretasan.
Jika ini benar, mengingat ini adalah paket yang terkenal, dampaknya tampaknya bisa besar, jadi saya merasa perlu segera memberi tahu dan menulis postingan pertama saya.
5 komentar
Namanya terasa familiar, ternyata pernah disebut di tulisan yang saya unggah
Open-Interface: Mengendalikan komputer dengan LLM
Sepertinya nanti bagian yang disebut di README perlu dihapus...
Detail selengkapnya dapat dilihat di Insiden kompromi paket PyPI LiteLLM 1.82.7 dan 1.82.8.
Jika Anda sedang menggunakan kode terkait, sebaiknya periksa sekali.
Setelah saya cek, tampaknya pemindai keamanan trivy yang bernama begitu (...?) telah diserang, dan berdasarkan compromise tersebut, tampaknya serangan tahap kedua juga sedang berlangsung.
Bagaimanapun juga, ini serius.
Ini benar-benar serius.
Di issue GitHub, lebih dari 100 akun bot meninggalkan spam,
Dan akun GitHub yang diretas mengubah deskripsi semua proyek di akun tersebut menjadi seperti ini.
teampcp owns BerriAI
Secara pribadi, melihat issue sampai dipenuhi spam memberi kesan distopia, jadi rasanya sangat menakutkan.