MalwareSchwachstellenKI-Sicherheit

Supply-Chain-Angriff auf beliebtes KI-Paket LiteLLM bedroht Zehntausende Unternehmen

Supply-Chain-Angriff auf beliebtes KI-Paket LiteLLM bedroht Zehntausende Unternehmen
Zusammenfassung

Eine Hackergruppe hat das weit verbreitete Python-Paket LiteLLM durch einen Supply-Chain-Angriff kompromittiert und damit potenziell Zehntausende von Unternehmen weltweit gefährdet. Die manipulierten Versionen 1.82.7 und 1.82.8 wurden am 24. März in das Python-Repository hochgeladen und vor ihrer Erkennung mindestens zwei Stunden lang heruntergeladen – bei drei Millionen täglichen Downloads eine erhebliche Reichweite. Die Cyberkriminellen, die sich selbst als TeamPCP bezeichnen, integrierten Malware zur Diebstahl sensibler Daten wie Cloud-Anmeldedaten, API-Schlüssel und Kryptowallet-Informationen in das legitime Softwarepaket. Laut Wiz Research war das Paket in etwa 36 Prozent aller Cloud-Umgebungen präsent. Der Angriff unterstreicht das wachsende Risiko der Open-Source-Software-Lieferkette, wo kleine Teams zentrale Tools betreuen, deren Kompromittierung als Einfallstor in Tausende Organisationen dienen kann. Für deutsche Unternehmen, Behörden und Entwickler, die LiteLLM nutzen, besteht ein erhebliches Risiko: Möglicherweise gestohlene Zugangsdaten könnten für Folgeangriffe missbraucht werden, und die Experten warnen vor Domino-Effekten, die zu Datenlecks und Sicherheitsverletzungen weit über den ursprünglichen Kompromiss hinaus führen können.

Die Cyberkriminellen hinter dem LiteLLM-Angriff gelang es, bösartigen Code in das legitime Softwarepaket einzuschleusen. Wie sie Zugriff erhielten, ist noch unklar, doch Forscher vermuten stark, dass ein Maintainer-Konto kompromittiert wurde, da die manipulierten Versionen mit gültigen Publishing-Zugriffen hochgeladen wurden.

Das eingeschleuste Malware-Code war darauf ausgelegt, sensible Daten zu extrahieren — einschließlich Cloud-Credentials, API-Schlüssel und Kryptowallet-Informationen — sowie persistenten Zugriff zu erlangen durch einen Downloader, der weiteren Angriffen den Weg ebnet. Besonders bemerkenswert: Die Malware stellt nur alle 50 Minuten Verbindung zu ihrem Kontrollserver her. Diese lange Verzögerung könnte dazu dienen, Sandbox-Umgebungen zu umgehen oder als Heartbeat-Mechanismus zu fungieren, um echte Ziele von Sicherheitsforschern zu unterscheiden.

Adam Reynolds, Senior Security Researcher bei Sonatype, berichtete von weiteren auffälligen Verhaltensweisen: “In einigen Fällen enthielt die Serverantwort nur einen Link zu einem YouTube-Video, was darauf hindeutet, dass die Payload-Bereitstellung selektiv kontrolliert wird.”

Das Ausmaß der Betroffenheit ist noch unklar, doch Wiz Research schätzt, dass das Paket in etwa 36 Prozent aller Cloud-Umgebungen vorhanden war. Benutzer sollten alle Credentials in betroffenen Umgebungen als potenziell kompromittiert behandeln.

Hinter dem Angriff soll die Gruppe TeamPCP stecken, die sich in einem öffentlichen Telegram-Kanal präsentiert und Geschäfte mit anderen Cyberkriminellen anstellt. Die Gruppe hat bereits früher Angriffe auf Aqua Security’s Trivy-Vulnerability-Scanner claimed, und kündigte an, weiterhin weit verbreitete Open-Source-Projekte ins Visier zu nehmen.

Die Sicherheitsexperten warnen: Dies ist keine isolierte Attacke, sondern Teil einer systemischen Kampagne. Ben Read von Wiz betont: “Indem sie über weit verbreitete Tools vorgehen, schaffen sie einen Schneeballeffekt, der weitere Kompromittierungen ermöglicht.” Die Gefahr liegt besonders in Folgeanangriffen: Wenn gestohlene Credentials in anderen Systemen wiederverwendet werden, könnten die Auswirkungen sich wellenartig ausbreiten — zu Datenverletzungen, Service-Ausfällen und Missbrauch sensibler Daten weit über den ursprünglichen Kompromittierungspunkt hinaus. Dies ist nicht das erste Mal, dass Open-Source-Tools als Angriffsvektor missbraucht werden: Auch der XZ Utils-Backdoor und der Shai-Hulud-Wurm zeigten, wie verwundbar die Software-Lieferkette ist.

Ähnliche Artikel