PythonのAIゲートウェイライブラリLiteLLMは、月間ダウンロード数9700万回を誇りますが、SlowMistの最高情報セキュリティ責任者である23pdsによると、PyPIのサプライチェーン攻撃により侵害されました。攻撃者は「pip install litellm」コマンドを実行することでこのライブラリを悪用し、ユーザーのデバイスから機密情報を盗むことが可能です。 侵害されたデータには、SSHキー、クラウドサービスの認証情報(AWS、GCP、Azure)、Kubernetesの設定ファイル、Gitの認証情報、環境変数からのAPIキー、シェル履歴、暗号通貨ウォレット情報、データベースのパスワードが含まれます。ユーザーは注意を払い、インストールの整合性を確認するように勧められています。