LiteLLM, tedarik zinciri saldırısıyla hacklendi.
(futuresearch.ai)Aceleyle mobilden yazdığım için bunu düzgün Markdown ile düzenleyemediğim için anlayışınızı rica ederim.
Ayrıntılar başlıkta bağlantısını verdiğim futuresearch blogunda var; 1.82.8 ve 1.82.7 sürümlerinde saldırı olduğu söyleniyor.
Şu anda yüklü olan LiteLLM sürümünü mutlaka kontrol etmenizde fayda var.
Şu anda GitHub'da bunun bir hack olup olmadığını gündeme getiren issue da yönetici tarafından hiçbir açıklama yapılmadan kapatılmış durumda, bu yüzden hack olma ihtimali yüksek görünüyor.
Eğer gerçekten doğruysa, tanınmış bir paket olduğu için etkinin büyük olabileceğini düşünüyorum; hızlıca duyurmak gerektiğini hissettiğim için ilk kez bir gönderi paylaşıyorum.
5 yorum
Bir yerden çok tanıdık geldiğini düşünmüştüm; meğer benim paylaştığım yazıda da adı geçmiş.
Open-Interface: LLM ile bilgisayarı kontrol etmek
Sanırım daha sonra README'de bahsedilen kısmı kaldırmak gerekecek...
Ayrıntılı bilgiye LiteLLM 1.82.7 ve 1.82.8 PyPI paketlerinin ihlal olayı üzerinden ulaşabilirsiniz.
İlgili kodları kullanıyorsanız, ihtimale karşı bir kontrol edin
Araştırınca, trivy adlı bir güvenlik tarayıcısının (..?) saldırıya uğradığını ve bu ihlal temel alınarak ikinci bir saldırının gerçekleştiğini görüyorum.
Her hâlükârda durum ciddi görünüyor.
Gerçekten çok ciddi.
GitHub issue’larına 100’den fazla bot hesap spam yorum bırakmış,
hacklenen GitHub hesabı da hesaptaki tüm projelerin açıklamasını şu şekilde değiştiriyor.
teampcp owns BerriAI
Şahsen issue’lara kadar spam yağması distopik bir his veriyor, gerçekten ürkütücü.