Veuillez m’excuser, j’écris en urgence depuis mon mobile et je n’ai pas pu bien mettre en forme le Markdown.
Le billet de blog FutureSearch lié dans le titre donne plus de détails, et indique qu’une attaque touche les versions 1.82.8 et 1.82.7.
Il serait vraiment utile de vérifier dès maintenant la version de LiteLLM actuellement installée.
À l’heure actuelle, même l’issue GitHub qui soulevait la question d’un possible piratage a été fermée par l’administrateur sans aucune explication, ce qui rend l’hypothèse d’un piratage assez probable.
Si cela se confirme, l’impact pourrait être important étant donné qu’il s’agit d’un package connu. J’ai donc pensé qu’il fallait prévenir rapidement, et je publie ce message pour la première fois.
5 commentaires
Ce nom me disait bien quelque chose, et en effet il avait déjà été mentionné dans un billet que j’avais publié
Open-Interface: Contrôler un ordinateur avec un LLM
Il faudra sans doute supprimer plus tard la partie mentionnée dans le readme...
Vous trouverez plus de détails dans l’incident de compromission des paquets PyPI LiteLLM 1.82.7 et 1.82.8.
Si vous utilisez du code lié, vérifiez par précaution.
En regardant, il semble qu’un scanner de sécurité appelé trivy ait été compromis et que, sur la base de cette compromission, une attaque de second niveau soit en cours.
Quoi qu’il en soit, c’est grave.
C’est vraiment grave.
Sur l’issue GitHub, plus de 100 comptes bots ont posté du spam,
et le compte GitHub compromis est en train de modifier la description de tous les projets présents sur le compte de cette manière.
teampcp owns BerriAI
Personnellement, le fait qu’il y ait même du spam sur l’issue donne une impression dystopique, donc ça me fait vraiment peur.