Veliki sigurnosni incident pogodio je globalnu IT zajednicu nakon što je kompromitiran popularni Python paket koji se koristi za upravljanje AI API ključevima, a koji koriste brojne velike kompanije, uključujući NASA-u, Netflix, Stripe i NVIDIA-u.
Prema dostupnim informacijama, zlonamjerna verzija paketa objavljena je na platformi PyPI te je, nakon instalacije, automatski pokretala skriveni kod bez potrebe za dodatnim pokretanjem od strane korisnika. Paket se koristi za centralizirano upravljanje pristupnim podacima za različite AI servise, što znači da je kompromitacija potencijalno izložila širok spektar osjetljivih informacija.
Sigurnosni stručnjaci navode kako je napad bio dio složenog lanca kompromitacija koji je uključivao više platformi i alata, pri čemu su napadači postupno dolazili do sve osjetljivijih podataka. Maliciozni kod bio je dizajniran za prikupljanje različitih vrsta podataka, uključujući pristupne ključeve, konfiguracijske datoteke i druge povjerljive informacije, koje su potom slane na udaljene servere.
Zanimljivo je da je napad otkriven relativno brzo zbog tehničke greške u samom zlonamjernom kodu, koja je uzrokovala preopterećenje računara i dovela do sumnje kod korisnika. Stručnjaci upozoravaju da bi, da je kod bio sofisticiraniji, kompromitacija mogla ostati neotkrivena znatno duže.
Incident je dodatno naglasio ranjivost modernih softverskih sustava, koji se u velikoj mjeri oslanjaju na vanjske biblioteke i ovisnosti. Budući da se takvi paketi često automatski instaliraju kao dio većih projekata, korisnici često nisu svjesni svih komponenti koje se nalaze u njihovim sustavima.
Nakon otkrivanja, kompromitirane verzije paketa su uklonjene, a stručnjaci savjetuju korisnicima da provjere svoje sustave, uklone rizične verzije i promijene sve potencijalno ugrožene pristupne podatke.
LiteLLM HAS BEEN COMPROMISED, DO NOT UPDATE. We just discovered that LiteLLM pypi release 1.82.8. It has been compromised, it contains litellm_init.pth with base64 encoded instructions to send all the credentials it can find to remote server + self-replicate. link below
— Daniel Hnyk (@hnykda) March 24, 2026
U međuvremenu su se pojavile i dodatne tvrdnje koje se dovode u vezu s istim napadom na LiteLLM i povezane alate.
Prema informacijama koje kruže u sigurnosnoj zajednici, osoba ili grupa odgovorna za kompromitaciju navodno tvrdi da je u kontaktu s više velikih kompanija iz kojih su izvučeni podaci.
Navodno je prikupljeno oko 300 gigabajta komprimiranih vjerodajnica, dok napadači tvrde da je samo kroz LiteLLM kompromitirano oko 500.000 pristupnih podataka.
U poruci koja im se pripisuje navodi se: ''TeamPCP je tu da ostane. Neka živi supply chain.''
Također se tvrdi da su se povezali s drugim hakerskim grupama te da planiraju nove napade.
Važno je naglasiti da ove informacije zasad nisu službeno potvrđene i dolaze iz neovisnih izvora, ali dodatno pojačavaju zabrinutost zbog razmjera ovog incidenta.
Hakerska grupa kompromitirala je jedan od najkorištenijih sigurnosnih alata na svijetu i iskoristila ga za krađu stotina tisuća vjerodajnica iz kompanija koje su mu vjerovale da ih štiti.
Dana 19. ožujka grupa pod nazivom TeamPCP ubacila je zlonamjerni kod u Trivy, popularni open-source alat za skeniranje sigurnosnih ranjivosti koji održava kompanija Aqua Security. Trivy koriste tisuće kompanija za provjeru sigurnosti svog koda i infrastrukture.
Napadači su kompromitirali 75 GitHub Action oznaka, Trivy Docker slike i CI/CD procese, što znači da su kompanije koje su koristile automatizirane sigurnosne provjere nesvjesno pokretale zlonamjerni kod.
Malver je prikupljao SSH ključeve, cloud vjerodajnice, Kubernetes tajne, kripto novčanike i .env datoteke iz svih sustava do kojih je imao pristup, a prikupljeni podaci su šifrirani i poslani na servere pod kontrolom napadača.
Napad se potom proširio dalje. Korištenjem ukradenih podataka iz Trivy sustava, napadači su kompromitirali LiteLLM, Python alat za upravljanje AI API-jevima. Na PyPI su objavljene dvije zlonamjerne verzije (1.82.7 i 1.82.8), pri čemu je jedna bila dizajnirana da se automatski pokreće pri svakom pokretanju Python procesa, bez ikakve interakcije korisnika.
Zatim su napadači proširili kompromitaciju na Kubernetes klastere, gdje su pokretali privilegirane procese i instalirali trajne backdoor pristupe na sustavima.
Osim toga, objavljene su kompromitirane Docker slike Trivyja, a desetine npm paketa zaražene su samorazmnožavajućim malverom. U kratkom vremenu kompromitirani su i interni repozitoriji Aqua Securityja.
Prema navodima sigurnosnih izvora, napadači tvrde da su prikupili oko 300 GB podataka te da su kompromitirali oko 500.000 vjerodajnica.
Stručnjaci upozoravaju da je riječ o jednom od najopasnijih oblika napada – tzv. supply chain napadu, u kojem alat koji bi trebao štititi sustav postaje glavni vektor napada.
