LiteLLM đã bị tấn công chuỗi cung ứng.
(futuresearch.ai)Mình đang vội viết bằng điện thoại nên mong mọi người thông cảm vì chưa thể trình bày Markdown cho chỉn chu.
Trong bài blog futuresearch được gắn ở tiêu đề có giải thích chi tiết hơn, và cho biết có cuộc tấn công nhắm vào các phiên bản 1.82.8 và 1.82.7.
Mọi người nên kiểm tra ngay phiên bản LiteLLM hiện đang được cài đặt.
Hiện trên GitHub, issue đặt nghi vấn liệu đây có phải là vụ hack hay không cũng đã bị quản trị viên đóng lại mà không có lời giải thích nào, nên khả năng bị hack có vẻ khá cao.
Nếu điều này là thật thì vì đây là một gói rất nổi tiếng, thiệt hại có thể sẽ lớn, nên mình nghĩ cần phải thông báo sớm và lần đầu tiên đăng bài để báo tin.
5 bình luận
Cái tên này trông rất quen, hóa ra đã từng được nhắc đến trong bài tôi đăng.
Open-Interface: Điều khiển máy tính bằng LLM
Có lẽ sau này nên xóa phần được nhắc đến trong readme...
Bạn có thể xem chi tiết tại Sự cố xâm phạm gói PyPI LiteLLM 1.82.7 và 1.82.8.
Nếu đang sử dụng các đoạn mã liên quan thì hãy kiểm tra một lần nhé
Tìm hiểu thì có vẻ là trình quét bảo mật trivy đã bị tấn công, và dựa trên sự xâm phạm đó thì một đợt tấn công thứ cấp đã diễn ra.
Dù sao thì đây cũng là vấn đề rất nghiêm trọng.
Thật sự rất nghiêm trọng.
Trong issue GitHub đã có hơn 100 tài khoản bot vào spam,
tài khoản GitHub bị hack thì đang đổi phần mô tả của mọi project trong tài khoản thành như thế này.
teampcp owns BerriAI
Cá nhân mình thấy đến mức issue còn bị spam nữa thì thật sự rất đáng sợ, kiểu cảm giác dystopia.