Нейросети под ударом: Атакована популярная библиотека для ИИ-разработчиков

24 марта 2026 года, пока разработчики продолжали работать с ИИ-инструментами, популярная библиотека Python LiteLLM, размещенная на PyPI, была незаметно «отравлена». GetBlock AML Research публикует обзор первой крупной атаки на популярный инструмент для ИИ-разработчиков.

LiteLLM — это открытая библиотека, которую скачивают до 97 миллионов раз в месяц. Ранним утром злоумышленники внесли изменения в ее репозиторий и выпустили две зараженные версии — 1.82.7 и 1.82.8. Всего за три часа десятки тысяч компьютеров разработчиков и корпоративных систем могли оказаться под угрозой утечки данных. В отличие от обычных атак, это был не единичный взлом, а тщательно спланированная цепочка действий.

Обзор крупнейшей NPM-атаки в истории: что это такое и при чем тут крипта

Вредоносный код был внедрен в специализированные пакеты для разработчиков, которые используются для создания глобальной интернет-инфраструктуры

Читать дальше

Обзор атаки на LiteLLM

Причина атаки заключалась не в ошибке самой библиотеки LiteLLM. Проблема была глубже: был скомпрометирован инструмент проверки безопасности Trivy, который использовался в процессе автоматической сборки и публикации обновлений.

Хронология атаки

• 19 марта: злоумышленники внедрили вредоносный код в Trivy, подменив его компоненты.
• 23 марта: был взломан еще один инструмент проверки безопасности, что подготовило почву для следующего этапа.
• 24 марта: при автоматической сборке LiteLLM система использовала уже зараженный Trivy. В результате был украден специальный ключ публикации, и злоумышленники смогли обойти стандартную процедуру выпуска обновлений, разместив вредоносные версии библиотеки.

Изначально атака должна была оставаться незаметной. Однако ошибка в самом вредоносном коде привела к обратному эффекту: зараженный файл начинал бесконечно запускаться, перегружая память и вызывая сбои. Именно это и помогло обнаружить проблему раньше, чем планировалось. В противном случае атака могла оставаться скрытой неделями.

Технические детали атаки на LiteLLM

Как работал вредоносный код

Атака была многоэтапной и гораздо более опасной, чем типичные случаи. На первом этапе происходил сбор данных. Вредоносная программа искала практически все ценное на зараженном компьютере: ключи доступа, историю команд, настройки, пароли к базам данных, данные облачных сервисов и даже файлы криптокошельков.

Важно понимать: LiteLLM часто используется как «посредник» для работы с разными ИИ-сервисами. Это означает, что в системе могут храниться ключи доступа сразу к нескольким платформам. Получив к ним доступ, злоумышленник фактически получает вход во внутреннюю инфраструктуру компании.

На втором этапе происходила отправка данных. Вся собранная информация шифровалась и отправлялась на поддельный сервер, созданный злоумышленниками. Этот домен выглядел как официальный, но на самом деле не имел отношения к проекту. По имеющимся данным, было украдено около 300 ГБ данных, включая примерно 500 000 различных учетных данных.

На третьем этапе закреплялся контроль. В системе создавался скрытый файл, который обеспечивал постоянный доступ. Даже если пользователь удалял библиотеку, вредоносный компонент мог продолжать работать в фоне.

Если заражение происходило в корпоративной среде, злоумышленник мог распространять доступ дальше — на другие серверы и системы внутри компании. Таким образом, один зараженный компьютер превращался в точку входа для атаки на всю инфраструктуру.

В чем смысл атаки и почему это опасно

Суть атаки — не просто «сломать систему», а тихо получить доступ к огромному количеству секретных данных: паролям, ключам, доступам к серверам и сервисам.

Это опасный прецедент по нескольким причинам. Во-первых, атака была направлена не на конкретную компанию, а на популярный инструмент, который используют тысячи разработчиков по всему миру. Это означает, что жертвами могли стать сразу многие организации.

Во-вторых, заражение происходило автоматически — достаточно было просто обновить библиотеку или установить зависимость, даже не подозревая об угрозе.

В-третьих, вредоносный код умел скрываться и сохраняться в системе даже после удаления основной программы. Это делает такие атаки особенно трудно обнаруживаемыми.

Возможные последствия

Хотя зараженные версии уже удалены, последствия атаки могут проявляться еще долго. Одна из главных проблем — скрытые «бэкдоры» в системе. Пользователь может думать, что все безопасно после удаления библиотеки, но вредоносный код может продолжать работать.

Вторая крупнейшая атака на NPM-инфраструктуру: почему это произошло снова

Жертвой злоумышленников стали разработчики популярных программных решений, которые массово используются в создании крупных сервисов и корпоративных решений

Читать дальше

Также существует риск цепной реакции. Украденные данные могут использоваться для взлома других систем, создавая эффект «домино». Кроме того, LiteLLM используется как зависимость в более чем 2000 других проектах. Это значит, что многие могли установить зараженную версию косвенно, даже не зная об этом.

Какие меры нужно предпринять

Всем пользователям рекомендуется проверить установленную версию LiteLLM и удалить зараженные версии.

Также важно заменить все ключи доступа, пароли и другие чувствительные данные, так как они могли быть скомпрометированы. В будущем разработчикам следует жестко фиксировать версии зависимостей и уделять больше внимания безопасности процессов сборки и обновлений.

Хакеры нацелились на ИИ-разработчиков

Атака на LiteLLM показала, насколько уязвимой может быть современная цифровая инфраструктура. Даже если основной код безопасен, слабое звено в цепочке поставок может привести к серьезным последствиям.

Этот случай — напоминание о том, что безопасность зависит не только от одного продукта, но и от всей экосистемы вокруг него. Игнорирование этих рисков может привести к утечке данных, финансовым потерям и потере контроля над системами.