Du führst pip install litellm aus, holst dir einen Kaffee, kommst zurück zum Terminal. Alles sieht normal aus. Deine SSH-Keys — die digitalen Generalschlüssel zu deinen Servern — sind längst auf dem Weg in ein fremdes Postfach.

Am 24. März 2026 ist genau das passiert. In echt.

Was passiert ist

LiteLLM ist der beliebteste Open-Source-LLM-Proxy — ein universeller Übersetzer, mit dem dein Code über ein einziges Interface mit jedem KI-Modell (Claude, GPT, Gemini) reden kann. Rund 3,4 Millionen Downloads pro Tag. Wenn du in Python mit KI arbeitest, hattest du wahrscheinlich schon damit zu tun.

Ein Bedrohungsakteur namens TeamPCP hat zwei verseuchte Versionen — 1.82.7 und 1.82.8 — direkt auf PyPI hochgeladen (Python Package Index — quasi der App Store für Python-Bibliotheken). Die eingeschleuste Malware sammelte SSH-Keys, Cloud-Credentials, API-Tokens und Umgebungsvariablen ein. Danach versuchte sie sich über Kubernetes-Cluster auszubreiten — also jene Container-Netzwerke, auf denen der Großteil der Cloud-Infrastruktur läuft.

Der fiese Teil: Version 1.82.8 nutzte eine .pth-Datei. In Python werden .pth-Dateien automatisch ausgeführt, sobald der Interpreter startet. Nicht wenn du eine Library importierst. Wenn irgendein Python-Prozess startet. Die Autovervollständigung deiner IDE? Kompromittiert. Du führst pip install irgendwas aus? Kompromittiert. Die Malware brauchte weder deine Erlaubnis noch deine Aufmerksamkeit.

Wie sie reingekommen sind

TeamPCP hat LiteLLM nicht direkt gehackt. Die haben größer gedacht.

Zuerst haben sie Aqua Securitys Trivy mit einer Backdoor versehen — einen beliebten Open-Source-Sicherheitsscanner — indem sie eine seiner GitHub Actions vergiftet haben (automatisierte Skripte, die in CI/CD-Pipelines laufen — die Fließbänder, die Code bauen und ausliefern). Das kompromittierte Trivy lief in LiteLLMs eigener CI-Pipeline und tat, was es immer tut: nach Schwachstellen scannen. Nur dass es nebenbei auch still und leise PyPI-Zugangsdaten klaute.

Mit diesen gestohlenen Credentials hat TeamPCP die manipulierten Pakete direkt auf PyPI hochgeladen. Kein Pull Request. Kein Code Review. Keine roten Flaggen. Das Sicherheitstool wurde zum Angriffsvektor.

Datadog Security Labs hat das auf eine koordinierte, mehrwöchige Kampagne zurückverfolgt, die auch Checkmarx' KICS-Scanner traf. TeamPCP hat genau die Tools bewaffnet, die Unternehmen zu ihrem Schutz einsetzen.

Drei Stunden haben gereicht

Die manipulierten Versionen lagen ungefähr drei Stunden auf PyPI — zwischen 10:39 UTC und 16:00 UTC am 24. März. Die Community hat's gemeldet, PyPI hat das Paket unter Quarantäne gestellt. Der Angriff betraf nicht LiteLLM Cloud oder die offiziellen Docker-Images — die verwenden gepinnte Versionen.

Aber drei Stunden bei 3,4 Millionen Downloads pro Tag bedeuten Tausende Installationen. Jeder, der in diesem Zeitfenster pip install --upgrade litellm ausgeführt hat — oder eine automatisierte Pipeline hatte, die das für ihn erledigt hat — war dran.

Was du tun solltest, wenn du betroffen bist

Wenn du LiteLLM am 24. März zwischen 10:39 und 16:00 UTC installiert oder aktualisiert hast — herzlichen Glückwunsch, dein Wochenende ist gestrichen:

  • Rotiere alles. SSH-Keys, Cloud-Tokens, API-Keys, Datenbank-Passwörter — alles, was in deinen Umgebungsvariablen lag
  • Prüfe auf laterale Ausbreitung. Besonders innerhalb von Kubernetes-Clustern. Die Malware hat aktiv versucht, sich zu verbreiten
  • Pinne auf Version 1.82.6 oder früher, bis sich der Staub komplett gelegt hat
  • Überprüfe deine CI/CD. Wenn du Trivy oder Checkmarx KICS nutzt, stell sicher, dass deine GitHub Actions nicht manipuliert wurden

Das Muster, das dir Angst machen sollte

Dieser Angriff ist nicht besonders wegen LiteLLM. Er ist besonders wegen der Methode. TeamPCP hat keinen Zero-Day gefunden. Sie haben keinen Maintainer gephisht. Sie haben einen Sicherheitsscanner kompromittiert — ein Tool, das genau dafür existiert, so etwas zu verhindern — und ihn als Generalschlüssel für alles Nachgelagerte benutzt.

Supply-Chain-Angriffe — bei denen Hacker die Tools und Libraries angreifen, von denen dein Code abhängt, statt dich direkt zu attackieren — werden immer kreativer. Vertrauensketten in Open Source sind lang und fragil. Du vertraust LiteLLM. LiteLLM vertraut Trivy. Trivy vertraut einer GitHub Action. Die GitHub Action vertraut... ja wem eigentlich?

Pinne deine Dependencies. Verifiziere Checksummen. Kein Auto-Upgrade in Produktion. Und behandle deinen Sicherheitsscanner vielleicht mit dem gleichen Misstrauen wie jede andere Dependency — denn offensichtlich hat er es verdient.

LiteLLM Security Update · Snyk-Analyse · Datadog Security Labs · BleepingComputer