LiteLLMがサプライチェーン攻撃で侵害されました。
(futuresearch.ai)急いでモバイルから書いているため、Markdown をきちんと整えられていない点はご了承ください。
タイトルにリンクした futuresearch のブログに詳しい内容がありますが、1.82.8 バージョンと 1.82.7 バージョンに攻撃があるそうです。
ぜひ今インストールされている LiteLLM のバージョンを確認してみてください。
現在、GitHub ではハッキングではないかと問題提起した Issue も、何の説明もなく管理者が閉じた状況なので、ハッキングの可能性が高そうです。
もし本当なら、有名なパッケージであるだけに被害が大きそうなので、早く知らせるべきだと思い、初めて投稿します。
5件のコメント
どこかでよく見た名前だと思ったら、私が投稿した記事で言及されたことがありましたね
Open-Interface: LLMでコンピューターを制御する
あとでREADMEで言及されている部分を消さないといけないかも...
詳細はLiteLLM 1.82.7 および 1.82.8 の PyPI パッケージ侵害事件で確認できます。
もし関連コードを使用しているなら、一度確認を
調べてみると、trivy というセキュリティスキャナー(..?)が攻撃を受け、その compromise を足がかりに二次攻撃が行われている状況のようです。
いずれにせよ深刻ですね。
本当に深刻ですね
GitHubのIssueには100件を超えるボットアカウントがスパムを書き込んでおり、
ハッキングされたGitHubアカウントは、そのアカウントにあるすべてのプロジェクトの説明をこのように書き換えています。
teampcp owns BerriAI
個人的には、Issueにまでスパムが付くのはディストピアっぽくてかなり怖いですね