Skribent
tagger
Del artikkel
The post has been shared by 0 people.
Facebook 0
X (Twitter) 0
Pinterest 0
Mail 0
Innhold Vis
  1. Hvordan angrepet fungerte – steg for steg
  2. Hva ble stjålet fra infiserte systemer?
  3. Hvem er TeamPCP?
  4. Hvem er berørt?
  5. Hva bør du gjøre nå?
  6. Det egentlige problemet – tillitskjeden i AI-pipelines

LiteLLM versjon 1.82.7 og 1.82.8 ble 24. mars 2026 infisert med skadevare som stjal API-nøkler, SSH-nøkler og skykredentialer. Angrepet ble utført av trusselaktøren TeamPCP, som først kompromitterte Trivy – en populær open source sikkerhetsskanner – og brukte den som springbrett inn i LiteLLMs CI/CD-pipeline.

LiteLLM er en av de mest brukte Python-pakkene i AI-pipelines. Den fungerer som en universell «mellomvare» mellom applikasjoner og språkmodell-APIer fra OpenAI, Anthropic, Google og andre. Med 3,4 millioner daglige nedlastinger og direkte avhengigheter fra prosjekter som CrewAI, DSPy, MLflow og OpenHands er potensialet for skade enormt.

De kompromitterte versjonene var tilgjengelige på PyPI i om lag tre timer – fra cirka 10:39 til 16:00 UTC – før pakken ble fjernet av PyPI. Tre timer er lenge nok til å nå mange.

Hvordan angrepet fungerte – steg for steg

TeamPCP startet ikke med LiteLLM. De startet med Trivy.

Trivy er en open source sikkerhetsscanner fra Aqua Security som brukes av tusenvis av CI/CD-pipelines – inkludert LiteLLMs egen. Angriperne utnyttet en pull_request_target-arbeidsflyt i Trivys GitHub-repository til å stjele Aquas bot-legitimasjon. Deretter overskrev de Git-tagger i trivy-action-repositoriet til å peke på en ondsinnet versjon (v0.69.4).

LiteLLM kjørte Trivy i sin pipeline – uten en fastlåst versjon. Da pipelinen hentet «nyeste» Trivy, fikk den den kompromitterte varianten. Den kompromitterte Trivy-versjonen stjal LiteLLMs PyPI-publiseringstoken. Dermed hadde angriperne nøklene til å publisere hva de ville som «offisielle» LiteLLM-pakker.

Dette er klassisk supply chain-angrep: Angrip et svakt ledd i kjeden, bruk det til å kompromittere neste ledd, og så neste – inntil du har tilgang til millioner av systemer.

Infografikk som viser supply chain-angrepskjeden fra GitHub Actions via Trivy til LiteLLM PyPI-pakker
Angrepskjeden: TeamPCP kompromitterte Trivy via GitHub Actions, stjal LiteLLMs PyPI-token og publiserte ondsinnede versioner.

Hva ble stjålet fra infiserte systemer?

Den ondsinnede koden i litellm==1.82.8 inneholder en fil kalt litellm_init.pth – en Python-startfil som kjøres automatisk av Python-tolken ved oppstart. Uten at du importerer LiteLLM. Uten at du kjører noe eksplisitt. Bare det å ha pakken installert er nok.

Skadevaren opererte i tre stadier:

  • Stadium 1 – Innsamling: Søkte gjennom filsystemet etter .env-filer, SSH-nøkler, AWS-credentials, GCP/Azure-tjenestekontofiler og Kubernetes kubeconfig-filer. Kryptovaluta-lommebøker var også på listen.
  • Stadium 2 – Eksfiltrering: Krypterte data med AES-256 og sendte det til domenet models.litellm.cloud – registrert av angriperne 23. mars, én dag før angrepet. Domenet ser ut som et legitimt LiteLLM-domene.
  • Stadium 3 – Persistens: Installerte en falsk «System Telemetry Service» via systemd, og deployet ondsinnede pods til alle noder i kube-system for Kubernetes-sidebevegelighet.

LiteLLM sitter i en særlig sensitiv posisjon i AI-stakken. Den fungerer som en proxy mellom applikasjoner og AI-tjenester, og har derfor direkte tilgang til API-nøklene som brukes mot OpenAI, Anthropic, Google og andre. Kompromitteres LiteLLM, kompromitteres potensielt alle disse nøklene i én operasjon.

Hvem er TeamPCP?

TeamPCP – også kjent under navnene PCPcat, Persy_PCP, ShellForce og DeadCatx3 – har ifølge sikkerhetsforskere vært aktive siden minst desember 2025. De er kjent for å koordinere via Telegram-kanaler og bruker noe de selv kaller «hackerbot-claw» – en AI-agent for automatisert angrepsmål.

Det er ikke tilfeldig at LiteLLM ble valgt. Angrepet mot Trivy, Checkmarx (KICS) og LiteLLM ser ut til å være del av en koordinert kampanje mot populære verktøy i DevOps- og AI-stacken. Arctic Wolf beskriver dette som en bredere TeamPCP-kampanje med potensielle downstream-konsekvenser for ytterligere prosjekter.

Hvem er berørt?

Du er direkte berørt hvis du installerte LiteLLM via pip mellom 10:39 og 16:00 UTC den 24. mars 2026, kjørte pip install litellm uten en fastlåst versjon, eller bygget Docker-images med upinnet LiteLLM i dette tidsvinduet.

Indirekte berørt kan du være hvis prosjekter du avhenger av – CrewAI, Browser-Use, Opik, DSPy, Mem0, Instructor, Guardrails, Agno eller Camel-AI – hentet LiteLLM i dette vinduet som en del av sin egen byggeprosess. Disse prosjektene slapp sikkerhetsoppdateringer samme dag ifølge LiteLLMs eget sikkerhetsblogginnlegg.

Ikke direkte berørt: Brukere av den offisielle LiteLLM Proxy Docker-imagen, og brukere av versjon 1.82.6 eller eldre.

Illustrasjon av de tre stadiene i LiteLLM-malwarens dataeksfiltrering - innsamling, kryptering og persistens
Malwaren opererte i tre stadier: innsamling av hemmeligheter, AES-256 kryptering og eksfiltrering, og til slutt persistens via systemd.

Hva bør du gjøre nå?

Første prioritet: Sjekk om litellm_init.pth eksisterer på dine systemer. Filen er den viktigste indikatoren for kompromittering.

Deretter bør du rotere alle hemmeligheter. Alle. API-nøkler til OpenAI, Anthropic, Google og andre AI-tjenester. SSH-nøkler. Cloud-credentials for AWS, Azure og GCP. CI/CD-tokens. Kubernetes-secrets. Det er kjedelig arbeid, men det er eneste måten å ha kontroll på.

Sjekk også etter disse filene og prosessene som indikerer kompromittering:

  • ~/.config/sysmon/sysmon.py – bakdørsskript
  • litellm_init.pth – ondsinnet Python-oppstartsfil
  • sysmon.service – persistens via systemd
  • Nettverkstrafikk mot models.litellm.cloud eller 45.148.10.212

Pinne LiteLLM til versjon 1.82.6 eller oppdater til nyeste versjon (1.82.9 eller nyere, som ikke er kompromittert). Og generelt: Pinne versjoner på alle kritiske avhengigheter i CI/CD-pipelines. «Bruk nyeste» er praktisk til det ikke er det.

Det egentlige problemet – tillitskjeden i AI-pipelines

Dette angrepet er et lærebokeksempel på noe mange AI-utviklere ikke tenker på: Avhengighetskjeden din er angrepsflaten din.

LiteLLM hadde ikke en sikkerhetssvakhet i koden sin. Maintainerne ble ikke hacket direkte. Det var et indirekte angrep via et verktøy de brukte – Trivy – som var kompromittert via en GitHub Actions-sårbarhet. Kjeden er lang: GitHub Actions – Trivy – LiteLLMs PyPI-token – LiteLLM-pakker – alle som kjørte pip install.

I AI-utvikling er det blitt normalt å lene seg tungt på store, kompatible biblioteker. LiteLLM er populær nettopp fordi den abstraherer vekk kompleksiteten i å håndtere mange AI-APIer. Men den posisjonen – mellom applikasjonen og alle AI-nøklene – gjør den til et svært attraktivt mål. Kompromitterer du LiteLLM, kompromitterer du effektivt alle API-nøklene den håndterer.

Verktøy som sitter mellom applikasjoner og sensitiv data trenger særlig nøye vurdering. Det gjelder LiteLLM, det gjelder n8n-integrasjoner, det gjelder alle mellomlag i AI-stakken. Dependency trust er ikke bare et JavaScript-problem lenger.

Har du LiteLLM i pipelines eller prosjekter? Sjekk versjonene, roter nøklene, og pin versjonene for fremtiden.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Meld deg på nyhetsbrevet

Få oppdateringer om AI nyhetene rett i inboxen!

Du liker kanskje denne også
Jan Sverre med headphones og lydmikser i boardroom-møte med forvirrede executives

Suno AI Copyright 2026 – Opphavsrett og Rettigheter for AI-Musikk

Kan du tjene penger på Suno-musikk? Her er en praktisk gjennomgang av rettigheter, risiko og hva du bør avklare før publisering.
  • 18. desember 2025
  • 532 visninger
  • 5 minutter lesetid
Claude code terminal interface

Claude Code nå for $20: Rimelig AI-drevet kodehjelp for alle utviklere

Anthropics Claude Code er nå tilgjengelig på $20 Pro-abonnement. Lær hvordan du kan utnytte AI-drevet koding uten store investeringer og hvilke kompromisser du må regne med.
  • 5. juni 2025
  • 531 visninger
  • 5 minutter lesetid
Jan Sverre tester GPT-5.2 ved en transparent OpenAI GPT-skjerm

GPT-5.2: Jeg testet OpenAIs nyeste modell – her er hva som faktisk fungerer

GPT-5.2 er ute med tre versjoner. Jeg har testet thinking-modellen, sammenlignet med 5.1, og funnet ut hva som faktisk er bedre. Her er mine erfaringer.
  • 12. desember 2025
  • 382 visninger
  • 5 minutter lesetid
Jan Sverre profesjonelt fotograf-kvalitet portrett AI-generert bildegenerering

Google NotebookLM

Google NotebookLM er en AI-assistent som gjør dokumenter om til interaktive samtaler, studieguidere og podcasts på norsk. Nå drevet av Gemini 3 Pro med nye funksjoner som infographics, slide decks og Deep Research. Komplett guide til gratis vs. Plus-versjon.
  • 11. desember 2025
  • 333 visninger
  • 10 minutter lesetid