Der AI-Entwicklungsbereich erlebte am 24. März einen bedeutenden Sicherheitsvorfall. Das weit verbreitete Python-Paket LiteLLM, das für die Anbindung an große LLMs verwendet wird, Version 1.82.8, wurde mit bösartigem Code infiziert. Ein einfacher Befehl

pip install litellm

kann dazu führen, dass SSH-Schlüssel, AWS/GCP/Azure-Zertifikate, Kubernetes-Konfigurationen, Git-Authentifizierungen, Umgebungsvariablen (alle API-Schlüssel), Shell-Historien, Kryptowallets, SSL-Privatschlüssel, CI/CD-Geheimnisse, Datenbankpasswörter und andere sensible Daten auf einen entfernten Server übertragen werden.

Verbreitungsgrad: Alle Projekte, die auf LiteLLM angewiesen sind, sind betroffen.

LiteLLM wird monatlich über 97 Millionen Mal heruntergeladen und hat somit eine enorme Verbreitung. Noch gravierender ist, dass die Natur von Supply-Chain-Angriffen den Schaden weit über die direkten Nutzer hinaus ausdehnt — jede Abhängigkeit von LiteLLM in anderen Paketen ist gefährdet. Zum Beispiel:

pip install dspy

(abhängig von litellm>=1.64.0) ist ebenfalls betroffen, ebenso andere große Projekte.

Laut einer Analyse von Andrej Karpathy auf X wurde die bösartige Version innerhalb von weniger als einer Stunde nach Veröffentlichung entdeckt — was eher Zufall war: Entwickler Callum McMahon verwendete in Cursor ein MCP-Plugin, das LiteLLM als transitiven Abhängigkeit (transitive dependency) einbindet. Bei der Installation von Version 1.82.8 kam es auf dem Computer zu einem Speicherüberlauf und zum Absturz. Wäre der Code des Angreifers nicht fehlerhaft gewesen, hätte dieser Angriff möglicherweise wochenlang unbemerkt andauern können.

Das Konto des LiteLLM-CEO soll kompromittiert worden sein, was auf eine größere Angriffskampagne hindeutet.

Sicherheitsforscher berichten, dass die GitHub- und PyPI-Konten von LiteLLM vermutlich gehackt wurden. Dieser Vorfall ist kein Einzelfall — die gleiche Angriffsgruppe (TeamPCP) führte gleichzeitig groß angelegte Angriffe auf VSCode- und Cursor-Erweiterungen durch, bei denen ein Remote-Access-Trojaner namens „ZOMBI“ eingeschleust wurde. Zudem wurden versteckte VNC-Server und SOCKS-Proxys installiert. Es wird angenommen, dass über 500.000 Zertifikate gestohlen wurden, was mehrere große bekannte Unternehmen betrifft.

Sofortmaßnahmen: Version prüfen, downgraden

Betroffene Version ist 1.82.8. Wenn dieses Paket bereits installiert ist, sollten alle Zertifikate als kompromittiert betrachtet und sofort ausgetauscht werden:

Version prüfen pip show litellm # Downgrade auf eine sichere Version pip install litellm==1.82.7

Karpathy: Es ist Zeit, die Abhängigkeitskultur neu zu überdenken

Karpathy zieht aus diesem Vorfall eine tiefere Reflexion: Traditionell betrachtet die Softwareentwicklung Abhängigkeiten als effiziente Bausteine („Steine zum Bau der Pyramide“). Doch Supply-Chain-Angriffe machen dieses Modell zunehmend gefährlich. Er meint, man sollte vorrangig Funktionen direkt aus LLMs „herausziehen“ (yoink), anstatt ganze externe Pakete zu integrieren — vor allem, wenn die Funktionen einfach und machbar sind.

Dieses Ereignis hat die Entwicklergemeinschaft auch auf die Tatsache aufmerksam gemacht, dass mit der zunehmenden Automatisierung durch KI-Agents, die automatisch

pip install

ausführen, die menschliche Überprüfung dieser Sicherheitslinie rapide schwindet. Paketbasierte Firewalls sind von „Nice-to-have“ zu „Grundvoraussetzung“ geworden.

Dieser Artikel „LiteLLM PyPI Supply-Chain-Angriff: Monatlich 97 Millionen Downloads mit bösartigem Code infiziert, SSH-Schlüssel und API-Zertifikate kompromittiert“ erschien zuerst bei Chain News ABMedia.