तुमने pip install litellm चलाया, चाय बनाने गए, वापस आए टर्मिनल पर। सब कुछ नॉर्मल दिख रहा है। लेकिन तुम्हारी SSH keys — तुम्हारे servers की मास्टर चाबियाँ — पहले से किसी और के इनबॉक्स में पहुँच चुकी हैं।
24 मार्च 2026 को, ये exactly हुआ। Real में।
क्या हुआ
LiteLLM सबसे पॉपुलर open-source LLM proxy है — एक universal translator जो तुम्हारे code को किसी भी AI model (Claude, GPT, Gemini) से एक ही interface से बात करने देता है। रोज़ाना करीब 3.4 million downloads। अगर तुम Python में AI के साथ काम करते हो, तो chances हैं कि तुमने इसे use किया है।
TeamPCP नाम के एक threat actor ने दो poisoned versions — 1.82.7 और 1.82.8 — सीधे PyPI (Python Package Index — Python libraries का app store) पर अपलोड कर दिए। अंदर का malware SSH keys, cloud credentials, API tokens, और environment variables चुरा रहा था। फिर ये Kubernetes clusters में फैलने की कोशिश करता था — वो container networks जिन पर ज़्यादातर cloud infrastructure चलता है।
सबसे गंदी बात: version 1.82.8 ने .pth file use की। Python में .pth files automatically execute होती हैं जब interpreter start होता है। लाइब्रेरी import करने पर नहीं। जब कोई भी Python process launch हो। तुम्हारे IDE का autocomplete? Compromised. pip install something-else चला रहे हो? Compromised. Malware को न तुम्हारी permission चाहिए थी, न तुम्हारा ध्यान।
अंदर कैसे घुसे
TeamPCP ने LiteLLM को directly hack नहीं किया। उन्होंने लंबा गेम खेला।
पहले, उन्होंने Aqua Security के Trivy को backdoor किया — एक popular open-source security scanner — उसकी एक GitHub Action (automated scripts जो CI/CD pipelines में चलती हैं — code build और ship करने वाली conveyor belts) को poison करके। Compromised Trivy LiteLLM की अपनी CI pipeline में वही करता रहा जो हमेशा करता था: vulnerabilities scan करना। बस अब वो चुपचाप PyPI credentials भी चुरा रहा था।
उन चोरी हुए credentials से TeamPCP ने malicious packages सीधे PyPI पर अपलोड कर दिए। कोई pull request नहीं। कोई code review नहीं। कोई red flag नहीं। Security tool ही attack vector बन गया।
Datadog Security Labs ने इसे एक coordinated multi-week campaign तक trace किया जिसने Checkmarx के KICS scanner को भी hit किया। TeamPCP ने उन्हीं tools को हथियार बनाया जिन्हें companies अपनी सुरक्षा के लिए use करती हैं।
तीन घंटे काफी थे
Malicious versions PyPI पर करीब तीन घंटे रहे — 24 मार्च को 10:39 UTC से 16:00 UTC के बीच। Community ने flag किया, PyPI ने package quarantine कर दिया। इस compromise ने LiteLLM Cloud या official Docker images को नहीं छुआ — वो pinned versions use करते हैं।
लेकिन 3.4 million daily downloads के हिसाब से तीन घंटे का मतलब है हज़ारों installations। जिसने भी उस window में pip install --upgrade litellm चलाया — या जिसकी automated pipeline ने ये कर दिया — वो फँस गया।
अगर तुम affected हो तो क्या करो
अगर तुमने 24 मार्च को 10:39–16:00 UTC के बीच LiteLLM install या upgrade किया, तो बधाई हो — तुम्हारा weekend cancel हो गया:
- सब कुछ rotate करो। SSH keys, cloud tokens, API keys, database passwords — जो कुछ भी तुम्हारे environment variables में था
- Lateral movement चेक करो। खासकर Kubernetes clusters में। Malware actively फैलने की कोशिश कर रहा था
- Version 1.82.6 पर pin करो या उससे पहले वाले पर, जब तक सब settle न हो जाए
- अपनी CI/CD audit करो। अगर तुम Trivy या Checkmarx KICS use करते हो, verify करो कि तुम्हारी GitHub Actions के साथ कोई tampering तो नहीं हुई
वो pattern जो सच में डराने वाला है
ये attack LiteLLM की वजह से special नहीं है। ये method की वजह से special है। TeamPCP ने कोई zero-day नहीं खोजा। किसी maintainer को phish नहीं किया। उन्होंने एक security scanner — ऐसा tool जो specifically इसी तरह की चीज़ रोकने के लिए बना है — को compromise किया और उसे downstream सब कुछ खोलने की master key की तरह use किया।
Supply chain attacks — जहाँ hackers सीधे तुम पर हमला करने की बजाय उन tools और libraries को target करते हैं जिन पर तुम्हारा code depend करता है — लगातार और creative होते जा रहे हैं। Open source में trust chains लंबी और नाज़ुक हैं। तुम LiteLLM पर trust करते हो। LiteLLM Trivy पर trust करता है। Trivy एक GitHub Action पर trust करता है। GitHub Action किस पर trust करता है... exactly?
अपनी dependencies pin करो। Checksums verify करो। Production में auto-upgrade मत करो। और शायद अपने security scanner को भी उतने ही शक की नज़र से देखो जितने से किसी और dependency को देखते हो — क्योंकि जैसा दिख रहा है, वो इसी लायक है।
→ LiteLLM Security Update · Snyk Analysis · Datadog Security Labs · BleepingComputer
