Критическая уязвимость: Вредоносный litellm_init.pth в litellm 1.82.8 — кража учетных данных

Критический инцидент безопасности: вредоносный litellm_init.pth в litellm 1.82.8

Описание проблемы

В марте 2026 года выявлен опаснейший инцидент в цепочке поставок программного обеспечения: в официальном дистрибутиве litellm 1.82.8 (PyPI wheel) обнаружен вредоносный файл litellm_init.pth размером 34628 байт. Данный файл автоматически исполняет внедрённый скрипт на каждом запуске интерпретатора Python — даже если модуль litellm непосредственно не импортируется.

По сути, под угрозу попали любые среды, где была установлена затронутая версия, независимо от характера использования: как локальная машина разработчика, так и производственный сервер. Суть эксплойта — извлечение и отправка всей чувствительной информации системе злоумышленника ровно в момент старта окружения Python.

Механизм срабатывания и разведка информации

Python-окружение автоматически исполняет все .pth-файлы в каталоге site-packages. Пользуясь этим, злоумышленники внедрили litellm_init.pth, активация которого происходит прозрачно для пользователя. Скрипт, двойным base64-кодированием скрытая полезная нагрузка, собирает:

Общую техническую информацию (имя хоста, активный пользователь, характеристики ОС, сетевые настройки) Все переменные окружения, включая API-ключи, токены доступа и секреты SSH-ключи пользователя и конфигурации, данные для доступа к git-репозиториям Аккаунты и ключи основных облачных провайдеров (AWS, GCP, Azure), включая конфигурационные файлы и временные токены Секреты Kubernetes — от пользовательских конфигов до системных файлов адмнистратора и сервисных токенов Конфигурации Docker, параметры работы с package-менеджерами и базы данных Историю команд в шеллах (bash/zsh/sh), что может содержать секреты Файлы криптовалютных кошельков: биткоин, эфириум, лайткоин, рипл и другие Приватные ключи SSL/TLS, сертификаты и выдающиеся Let’s Encrypt ключи Конфигурации инструментов CI/CD, секреты Terraform, Jenkins, Travis, Drone и других Ключи для работы с популярными базами данных, webhook-и Slack и Discord

Этап шифрования и эксфильтрации

Все собранные данные сохраняются во временный файл, который с помощью openssl шифруется по алгоритму AES-256, после чего случайно сгенерированный сеансовый ключ дополнительно защищается через жёстко зашитый 4096-битный открытый RSA-ключ. Далее оба файла пакуются в архив, который отправляется POST-запросом на поддельный домен `models.litellm.cloud` (неофициальный адрес, в отличие от настоящего litellm.ai).

Маскировка осуществляется с помощью двойного base64-кодирования, что делает вредоносный код незаметным при поверхностном просмотре исходников или проверках grep-утилитой.

Масштаб и последствия

Вредоносный код активируется автоматически, ставя под угрозу:

Все локальные рабочие места разработчиков Среды непрерывной интеграции и доставки (CI/CD) Docker-контейнеры Промышленные и продакшн-серверы

Для пострадавших означает: все токены, пароли, ключи и конфигурации, присутствовавшие в среде, могли быть украдены и переданы третьим лицам. В том числе ключи к облачным провайдерам, криптовалютные кошельки, секреты финансовых и внутренних интеграций, сетевые настройки и истории команд.

По данным сообщества, проблема подтверждена для версии 1.82.8, но существует риск компрометации и других выпусков (например, в 1.82.7, хотя файл .pth там отсутствует, вредоносный код обнаружен в proxy/proxy_server.py).

Рекомендации для пользователей и сообщества

1. Мгновенная блокировка и удаление проблемной версии litellm с PyPI 2. Проверка окружения: поиск файла litellm_init.pth в папке site-packages 3. Срочная смена всех потенциально скомпрометированных ключей, паролей, токенов — как на машинах, так и на сервисах 4. Аудит цепочки сборки: провести тщательную проверку всех учетных записей для публикаций на PyPI и автоматизированных пайплайнов

Отклики сообщества

Пользователи GitHub выразили тревогу масштабом произошедшего, отмечая, что тысячи систем могли быть взломаны незаметно для владельцев. Помимо обсуждений инцидента, были опубликованы советы по выявлению и устранению вредоносных файлов, а также благодарности авторам и авторам-обнаружителям за профессиональный постмортем.

Итог

Этот инцидент стал наглядным уроком об уязвимости цепочек поставок программного обеспечения. Для всех, использовавших litellm 1.82.8, обязательна немедленная смена всех секретов и глубокая проверка безопасности сред. Подобные события подчеркивают критическую необходимость постоянного аудита сторонних компонентов и бдительности при обновлениях даже наиболее авторитетных библиотек.