forum.opennet.ru - "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц" (18)

"В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц"	+/–
Сообщение от opennews (??), 25-Мрт-26, 00:05
Разработчики Python-библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц и 3.5 млн за последние сутки, сообщили о компрометации проекта. Атакующие смогли перехватить учётные данные сопровождающего и опубликовать в PyPI два вредоносных выпуска - 1.82.7 и 1.82.8, содержащих код для кражи ключей и паролей с систем пользователей. В настоящее время вредоносные версии удалены из PyPI, а проект временно заморожен до окончания разбирательства... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65065
Ответить \| Правка \| Cообщить модератору

Оглавление

Самым слабым звеном оказался сканер безопасности, Аноним (1), 00:05 , 25-Мрт-26, (1) +18

Проблема в настройках СI Почему вообще какой-то сканер может перехатывать учетк, Сладкая булочка (?), 00:17 , 25-Мрт-26, (2) +4

Девляпсинг же Классический подход, причём при полном незнании как основ, так и , Tron is Whistling (?), 07:27 , 25-Мрт-26, (14) +3

Девляпс Теперь банановый W ллмновый , Аноним (20), 08:24 , 25-Мрт-26, (20)

Как отличить сканер безопасности от вируса За сканер платят добровольно , Аноним (4), 00:35 , 25-Мрт-26, (4) +7

Сканер не самораспространяется , Аноним (23), 09:21 , 25-Мрт-26, (23) +2

Слабость в архитектуре проекта И такое будет продолжаться , Аноним (17), 07:56 , 25-Мрт-26, (17) +1
Так причём тут это В С С проектах такое за всю историю может 1-2 раза случалос, Аноним83 (?), 12:05 , 25-Мрт-26, (29)

Новый npm-leftpad теперь питон , Аноним (5), 01:09 , 25-Мрт-26, (5) –1

Новый nlohmann-json теперь сиплюсплюс , Аноним (6), 01:26 , 25-Мрт-26, (6) –2

Мне неизвестны публичные репозитории C , в которые кто угодно может писать что , Аноним (17), 08:00 , 25-Мрт-26, (18) +2

лефтпад хотя бы без сканеров безопастносте обходился , пох. (?), 12:25 , 25-Мрт-26, (30)

Пострадали только те, кто пользуется LLM Ну , Грустный (?), 06:06 , 25-Мрт-26, (7) +2

Поддержу двумя руками , Sm0ke85 (ok), 07:08 , 25-Мрт-26, (9)

Хм, как по мне эта та проблема, которая вообще должна решаться на уровне системы, Аноним (22), 08:41 , 25-Мрт-26, (22)

есть миллион способов решить проблему, вот только все решения такие себе, даже е, Аноним (5), 10:25 , 25-Мрт-26, (24) +1
Опять на уровне языка Не нужно добавлять в язык программирования библиотеки к, Аноним (17), 10:30 , 25-Мрт-26, (26) +1
Уже дохрена лет как умные люди из АНБ США придумали для этих целей SELinux Но э, Аноним (28), 11:38 , 25-Мрт-26, (28)

Сообщения [Сортировка по времени | RSS]

1. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +18 +/–

Сообщение от Аноним (1), 25-Мрт-26, 00:05

Самым слабым звеном оказался сканер безопасности

Ответить | Правка | Наверх | Cообщить модератору

2. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +4 +/–

Сообщение от Сладкая булочка (?), 25-Мрт-26, 00:17

Проблема в настройках СI. Почему вообще какой-то сканер может перехатывать учетку? У него поди еще и автообновление зависимостей было.

Ответить | Правка | Наверх | Cообщить модератору

14. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +3 +/–

Сообщение от Tron is Whistling (?), 25-Мрт-26, 07:27

Девляпсинг же. Классический подход, причём при полном незнании как основ, так и того, что делают.

Ответить | Правка | Наверх | Cообщить модератору

20. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от Аноним (20), 25-Мрт-26, 08:24

Девляпс. Теперь банановый^W ллмновый!

Ответить | Правка | Наверх | Cообщить модератору

4. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +7 +/–

Сообщение от Аноним (4), 25-Мрт-26, 00:35

Как отличить сканер безопасности от вируса? За сканер платят добровольно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

23. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +2 +/–

Сообщение от Аноним (23), 25-Мрт-26, 09:21

Сканер не самораспространяется.

Ответить | Правка | Наверх | Cообщить модератору

17. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +1 +/–

Сообщение от Аноним (17), 25-Мрт-26, 07:56

Слабость в архитектуре проекта. И такое будет продолжаться.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от Аноним83 (?), 25-Мрт-26, 12:05

Так причём тут это?
В С/С++ проектах такое за всю историю может 1-2 раза случалось и то не публично, потому что разработчик сам зависимости прописывает, сам добавляет в сборку а не фигачит всё подряд.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." –1 +/–

Сообщение от Аноним (5), 25-Мрт-26, 01:09

Новый npm-leftpad теперь питон?

Ответить | Правка | Наверх | Cообщить модератору

6. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." –2 +/–

Сообщение от Аноним (6), 25-Мрт-26, 01:26

Новый nlohmann-json теперь сиплюсплюс?

Ответить | Правка | Наверх | Cообщить модератору

18. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +2 +/–

Сообщение от Аноним (17), 25-Мрт-26, 08:00

Мне неизвестны публичные репозитории C++, в которые кто угодно может писать что угодно. И еще, C++ - язык программирования, а не инфраструктура, которой является сабж (а также еще несколько модных проектов), а все системы программирования на С++ контролируются серьезными компаниями/сообществами. Поэтому писать вредоносные обновления некуда.

Ответить | Правка | Наверх | Cообщить модератору

30. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от пох. (?), 25-Мрт-26, 12:25

лефтпад хотя бы без "сканеров безопастносте" обходился.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +2 +/–

Сообщение от Грустный (?), 25-Мрт-26, 06:06

Пострадали только те, кто пользуется LLM? Ну

Ответить | Правка | Наверх | Cообщить модератору

9. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от Sm0ke85 (ok), 25-Мрт-26, 07:08

>Пострадали только те, кто пользуется LLM? Ну
Поддержу двумя руками)))

Ответить | Правка | Наверх | Cообщить модератору

22. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от Аноним (22), 25-Мрт-26, 08:41

Хм, как по мне эта та проблема, которая вообще должна решаться на уровне системы и языка программирования, используя так называемые возможности, разрешения, ключа доступа, токена, - да называйте это как хотите!
Идея не новая, но практика показывает, что это необходимость, чтобы у кода чисто технически не было возможности например получить доступ в сеть или к файловой системе на прямую "из воздуха". Нужны языки, которые будут это гарантировать!
Например, есть исследовательский проект какого-то чувака, называется Austral programming language, - где данная проблема решается с помощью линейных типов (мне импонирует философия лежащая в основе); есть какой-то проект от Майкрософт - Koka. Но как мне кажется среди всего этого есть очень хороший шанс выстрелить у Hylo, во-первых пилит один из авторов LLVM и Swift, синтаксис основан на Swift, а значит в дальнейшем есть вероятность, что это как-то заюзают Apple, либо в самом Swift, либо напрямую; во-вторых, язык решает туже проблему что и Rust, но делает это по-другому, по сути избавляя программиста от такого понятия как ссылка; в-третьих, там также можно будет решить проблему о которой говорилось вначале! Итог: безопасность на уровне памяти как в Rust + безопасность на уровне возможностей самого кода; в общем тоже весьма интересный проект! В общем, через лет 15 начнут переписывать все с Rust на Hylo;)))

Ответить | Правка | Наверх | Cообщить модератору

24. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +1 +/–

Сообщение от Аноним (5), 25-Мрт-26, 10:25

есть миллион способов решить проблему, вот только все решения такие себе, даже если каждую функцию сделать отдельным исполняемым файлом и данные гонять через сериализацию, то задолбаешься права назначать, а даже если назначишь, то работать будет медлено.
это в целом не решаемо, даже если код изолировать на отдельных физических чипах со своей отдельной памятью, даже если вообще это будет не код, а устройство механическое, или биологический исполнитель
ну представь что у тебя мануфактура, и 100 сотрудников, и ты к каждому приписываешь контролера, будет +100 контролеров, жуткий оверхед, вот только вместо 100 точек отказа у тебя уже 200, любого могут подкупить.
за столько лет, ниодна компания не гарантировала 100% рабочего продутка, у любой уважаемой есть возврат и ремонт, чем код лучше/хуже тостеров и пылисосов, хоть обмажся сертификатами и точками контроля, от космических лучей и скачков напряжения не спасет, не конечно можно, каждому транзистору свинцовый саркофаг, но чет такое себе, современный девайс изготовленный по военным нормам будет с комнату размером и цена как у квартиры будет.

Ответить | Правка | Наверх | Cообщить модератору

26. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +1 +/–

Сообщение от Аноним (17), 25-Мрт-26, 10:30

> на уровне системы и языка программирования
Опять на уровне языка?! Не нужно добавлять в язык программирования библиотеки (кроме стандартных), фреймворки, модули и прочее, и нагружаться проверкой безопасности неизвестно откуда взятых кусков [скомпилированного, в том числе на C/C++] кода. Возьмите, что-ли, пример с C/C++, Фортрана, Паскаля, Бэйсика.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..." +/–

Сообщение от Аноним (28), 25-Мрт-26, 11:38

> это необходимость, чтобы у кода чисто технически не было возможности например получить доступ в сеть или к файловой системе
Уже дохрена лет как умные люди из АНБ США придумали для этих целей SELinux. Но это не для окончивших курсы кодинга на питоне.
> Нужны языки, которые будут это гарантировать!
То есть, языки, которые не будут делать то, что прописано в коде. Ты гений!

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+18 +/–
Сообщение от Аноним (1), 25-Мрт-26, 00:05
Самым слабым звеном оказался сканер безопасности
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+4 +/–
	Сообщение от Сладкая булочка (?), 25-Мрт-26, 00:17
	Проблема в настройках СI. Почему вообще какой-то сканер может перехатывать учетку? У него поди еще и автообновление зависимостей было.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+3 +/–
	Сообщение от Tron is Whistling (?), 25-Мрт-26, 07:27
	Девляпсинг же. Классический подход, причём при полном незнании как основ, так и того, что делают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
	Сообщение от Аноним (20), 25-Мрт-26, 08:24
	Девляпс. Теперь банановый^W ллмновый!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+7 +/–
	Сообщение от Аноним (4), 25-Мрт-26, 00:35
	Как отличить сканер безопасности от вируса? За сканер платят добровольно.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	23. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+2 +/–
	Сообщение от Аноним (23), 25-Мрт-26, 09:21
	Сканер не самораспространяется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+1 +/–
	Сообщение от Аноним (17), 25-Мрт-26, 07:56
	Слабость в архитектуре проекта. И такое будет продолжаться.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	29. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
	Сообщение от Аноним83 (?), 25-Мрт-26, 12:05
	Так причём тут это? В С/С++ проектах такое за всю историю может 1-2 раза случалось и то не публично, потому что разработчик сам зависимости прописывает, сам добавляет в сборку а не фигачит всё подряд.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

5. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	–1 +/–
Сообщение от Аноним (5), 25-Мрт-26, 01:09
Новый npm-leftpad теперь питон?
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	–2 +/–
	Сообщение от Аноним (6), 25-Мрт-26, 01:26
	Новый nlohmann-json теперь сиплюсплюс?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+2 +/–
	Сообщение от Аноним (17), 25-Мрт-26, 08:00
	Мне неизвестны публичные репозитории C++, в которые кто угодно может писать что угодно. И еще, C++ - язык программирования, а не инфраструктура, которой является сабж (а также еще несколько модных проектов), а все системы программирования на С++ контролируются серьезными компаниями/сообществами. Поэтому писать вредоносные обновления некуда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
	Сообщение от пох. (?), 25-Мрт-26, 12:25
	лефтпад хотя бы без "сканеров безопастносте" обходился.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

7. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+2 +/–
Сообщение от Грустный (?), 25-Мрт-26, 06:06
Пострадали только те, кто пользуется LLM? Ну
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
	Сообщение от Sm0ke85 (ok), 25-Мрт-26, 07:08
	>Пострадали только те, кто пользуется LLM? Ну Поддержу двумя руками)))
	Ответить \| Правка \| Наверх \| Cообщить модератору

22. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
Сообщение от Аноним (22), 25-Мрт-26, 08:41
Хм, как по мне эта та проблема, которая вообще должна решаться на уровне системы и языка программирования, используя так называемые возможности, разрешения, ключа доступа, токена, - да называйте это как хотите! Идея не новая, но практика показывает, что это необходимость, чтобы у кода чисто технически не было возможности например получить доступ в сеть или к файловой системе на прямую "из воздуха". Нужны языки, которые будут это гарантировать! Например, есть исследовательский проект какого-то чувака, называется Austral programming language, - где данная проблема решается с помощью линейных типов (мне импонирует философия лежащая в основе); есть какой-то проект от Майкрософт - Koka. Но как мне кажется среди всего этого есть очень хороший шанс выстрелить у Hylo, во-первых пилит один из авторов LLVM и Swift, синтаксис основан на Swift, а значит в дальнейшем есть вероятность, что это как-то заюзают Apple, либо в самом Swift, либо напрямую; во-вторых, язык решает туже проблему что и Rust, но делает это по-другому, по сути избавляя программиста от такого понятия как ссылка; в-третьих, там также можно будет решить проблему о которой говорилось вначале! Итог: безопасность на уровне памяти как в Rust + безопасность на уровне возможностей самого кода; в общем тоже весьма интересный проект! В общем, через лет 15 начнут переписывать все с Rust на Hylo;)))
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+1 +/–
	Сообщение от Аноним (5), 25-Мрт-26, 10:25
	есть миллион способов решить проблему, вот только все решения такие себе, даже если каждую функцию сделать отдельным исполняемым файлом и данные гонять через сериализацию, то задолбаешься права назначать, а даже если назначишь, то работать будет медлено. это в целом не решаемо, даже если код изолировать на отдельных физических чипах со своей отдельной памятью, даже если вообще это будет не код, а устройство механическое, или биологический исполнитель ну представь что у тебя мануфактура, и 100 сотрудников, и ты к каждому приписываешь контролера, будет +100 контролеров, жуткий оверхед, вот только вместо 100 точек отказа у тебя уже 200, любого могут подкупить. за столько лет, ниодна компания не гарантировала 100% рабочего продутка, у любой уважаемой есть возврат и ремонт, чем код лучше/хуже тостеров и пылисосов, хоть обмажся сертификатами и точками контроля, от космических лучей и скачков напряжения не спасет, не конечно можно, каждому транзистору свинцовый саркофаг, но чет такое себе, современный девайс изготовленный по военным нормам будет с комнату размером и цена как у квартиры будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+1 +/–
	Сообщение от Аноним (17), 25-Мрт-26, 10:30
	> на уровне системы и языка программирования Опять на уровне языка?! Не нужно добавлять в язык программирования библиотеки (кроме стандартных), фреймворки, модули и прочее, и нагружаться проверкой безопасности неизвестно откуда взятых кусков [скомпилированного, в том числе на C/C++] кода. Возьмите, что-ли, пример с C/C++, Фортрана, Паскаля, Бэйсика.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	28. "В PyPI размещены вредоносные выпуски библиотеки LiteLLM, нас..."	+/–
	Сообщение от Аноним (28), 25-Мрт-26, 11:38
	> это необходимость, чтобы у кода чисто технически не было возможности например получить доступ в сеть или к файловой системе Уже дохрена лет как умные люди из АНБ США придумали для этих целей SELinux. Но это не для окончивших курсы кодинга на питоне. > Нужны языки, которые будут это гарантировать! То есть, языки, которые не будут делать то, что прописано в коде. Ты гений!
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору