Андрей Ситник5d ago

Если кто-то думает, что supply chain attack лишь проблема npm и JS, то вот атака в мире Python и LLM.

Одна команда pip install litellm и все ваши ключи доступа будет украдены.

Начинайте думать про системную защиту от supply chain attack пока не поздно.

https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

Supply Chain Attack in litellm 1.82.8 on PyPI

litellm version 1.82.8 on PyPI contains a malicious .pth file that harvests SSH keys, cloud credentials, and secrets on every Python startup, then attempts lateral movement across Kubernetes clusters.

FutureSearch
Show threadnamuro
@sitnik_ru Так может быть в зависимостях других сколько угодной глубины. PyPi вообще беда с этим.
Mar 25 at 6:57amMastodon for iOS