LiteLLM Hacker-Angriff: 500.000 Zugangsdaten kompromittiert, Kryptowallets könnten gestohlen werden – Wie kann man überprüfen, ob man betroffen ist?

Autor: HIBIKI, Krypto-Stadt

LiteLLM wurde Ziel eines Lieferkettenangriffs, hunderte GB Daten, 500.000 Credentials geleakt
Das AI-Open-Source-Paket LiteLLM, das täglich bis zu 3,4 Millionen Downloads verzeichnet, ist eine wichtige Brücke für viele Entwickler, die mehrere große Sprachmodelle (LLMs) verbinden, wurde kürzlich zum Ziel von Hackern. Kaspersky schätzt, dass dieser Angriff mehr als 20.000 Code-Repositories einem Risiko ausgesetzt hat, und die Hacker behaupten, hunderte GB vertraulicher Daten sowie über 500.000 Kontozugangsdaten gestohlen zu haben, was erhebliche Auswirkungen auf die globale Softwareentwicklung und Cloud-Umgebungen hat.
Nach Rückverfolgung durch Sicherheitsexperten stellte sich heraus, dass der Ursprung des LiteLLM-Hackervorfalls ein Open-Source-Sicherheitstool namens Trivy war, das viele Unternehmen zur Überprüfung von Systemanfälligkeiten nutzen.
Dies ist ein typischer Beispiel für einen verschachtelten Lieferkettenangriff (Supply Chain Attack), bei dem Hacker von einem vertrauenswürdigen Tool, das das Ziel verwendet, ausgehend, heimlich bösartigen Code einfügen, ähnlich wie Gift in die Wasserquelle eines Wasserwerks, wodurch alle Verbraucher unbewusst betroffen sind.

Bildquelle: Trivy ｜ Der Ursprung des LiteLLM-Hackervorfalls ist ein Open-Source-Sicherheitstool namens Trivy, das viele Unternehmen zur Überprüfung von Systemanfälligkeiten nutzen.

LiteLLM-Angriffsvorfall im gesamten Prozess: Vom Sicherheitstool zur Kettenreaktion bei AI-Paketen
Laut Analysen der Sicherheitsfirma Snyk und Kaspersky wurde der LiteLLM-Angriff bereits Ende Februar 2026 vorbereitet.
Die Hacker nutzten eine Schwachstelle im CI/CD von GitHub (ein automatisierter Prozess für Softwaretests und -veröffentlichung), um die Zugangsdaten (Token) der Trivy-Wartungsmitarbeiter zu stehlen. Da die Zugangsdaten nicht vollständig widerrufen wurden, gelang es den Hackern am 19. März, das Veröffentlichungsetikett von Trivy zu manipulieren, sodass der automatisierte Prozess ein Scan-Tool mit bösartigem Code herunterlud.
Anschließend verwendeten die Hacker dieselbe Methode, um am 24. März die Veröffentlichungsrechte von LiteLLM zu übernehmen und die Versionen 1.82.7 und 1.82.8 mit bösartigem Code hochzuladen.
Zu diesem Zeitpunkt lud der Entwickler Callum McMahon beim Testen der Erweiterung des Cursor-Editors die neueste Version von LiteLLM automatisch herunter, was dazu führte, dass die Ressourcen seines Computers sofort erschöpft waren.
Durch die Analyse mit dem AI-Assistenten Debug stellte er fest, dass im bösartigen Code ein Fehler vorhanden war, der eine Fork Bomb auslöste – ein böswilliges Verhalten, das sich ständig selbst repliziert und den Arbeitsspeicher und die Rechenressourcen des Computers aufbraucht, wodurch dieser verdeckte Angriff frühzeitig aufgedeckt werden konnte.
Laut Analysen von Snyk wird der bösartige Code des Angriffs in drei Phasen unterteilt:

• Datensammlung: Das Programm durchsucht umfassend sensible Informationen auf dem betroffenen Computer, einschließlich SSH-Remote-Verbindungs-Keys, Cloud-Service (AWS, GCP) Zugangsdaten sowie Seed-Phrasen von Kryptowährungs-Wallets wie Bitcoin und Ethereum.
• Verschlüsselung und Leckage: Die gesammelten Daten werden verschlüsselt verpackt und heimlich an eine gefälschte Domain gesendet, die von den Hackern im Voraus registriert wurde.
• Persistente Tarnung und laterale Bewegung: Das bösartige Programm implantiert ein Hintertür in das System. Wenn Kubernetes erkannt wird, eine Open-Source-Plattform zur automatisierten Bereitstellung und Verwaltung containerisierter Anwendungen, versucht es zudem, das bösartige Programm auf alle Knoten im gesamten Cluster zu verbreiten.

LiteLLM und Trivy Lieferkettenangriff Zeitachse

Ist Ihre Wallet und Ihre Zugangsdaten sicher? Leitfaden zu Prüfungen und Abhilfemaßnahmen
Wenn Sie nach dem 24. März 2026 das LiteLLM-Paket installiert oder aktualisiert haben oder wenn Ihre automatisierte Entwicklungsumgebung das Trivy-Scan-Tool verwendet hat, ist es sehr wahrscheinlich, dass Ihr System bereits betroffen ist.
Laut den Empfehlungen von Callum McMahon und Snyk besteht die erste Aufgabe in der Abwehr und Behebung darin, den Umfang der Betroffenheit zu überprüfen und die Hintertüren der Hacker vollständig zu unterbinden.

Kaspersky empfiehlt, um die Sicherheit von GitHub Actions zu erhöhen, folgende Open-Source-Tools zu verwenden:

• zizmor: Dies ist ein Tool zur statischen Analyse und zur Erkennung von Fehlern in GitHub Actions-Konfigurationen.
• gato und Gato-X: Diese beiden Versionen von Tools dienen hauptsächlich dazu, automatisierte Prozesspipelines mit strukturellen Schwächen zu identifizieren.
• allstar: Eine von der Open Source Security Foundation (OpenSSF) entwickelte GitHub-Anwendung, die speziell zur Einrichtung und Durchsetzung von Sicherheitsrichtlinien in GitHub-Organisationen und -Repositories entwickelt wurde.

Hinter dem LiteLLM-Angriff haben Hacker bereits den Krypto-Hype im Visier
Laut Analysen von Snyk und des auf Cybersecurity spezialisierten Ingenieurs Huli ist der Drahtzieher dieses Vorfalls eine Hackergruppe namens TeamPCP, die seit Dezember 2025 aktiv ist und häufig über Kommunikationssoftware wie Telegram Kanäle zur Durchführung ihrer Aktivitäten einrichtet.
Huli hebt hervor, dass die Hacker während des Angriffs ein automatisiertes Angriffswerkzeug namens hackerbot-claw verwendet haben. Dieser Name folgt geschickt dem aktuellen Trend der AI-Agenten zur Krebserziehung (OpenClaw) in der AI-Community.
Diese Gruppe von Hackern zielte präzise auf hochprivilegierte und weit verbreitete Infrastrukturwerkzeuge ab, einschließlich Trivy und LiteLLM, und verstand es, die neuesten AI-Trends zu nutzen, um den Umfang ihrer Angriffe zu vergrößern, was ein hohes Maß an Organisation und zielgerichteter krimineller Methoden zeigt.

Bildquelle: Huli Casual Chat ｜ Der auf Cybersecurity spezialisierte Ingenieur Huli erläutert den Trivy- und LiteLLM-Lieferkettenangriff (Teil-Screenshot)

Mit der Verbreitung von AI-Tools sind die Berechtigungsverwaltung und die Sicherheit der Lieferkette im Entwicklungsprozess Risiken, die kein Unternehmen ignorieren kann.
Beispiele wie der kürzliche Hackerangriff auf das NPM-Konto eines bekannten Entwicklers, bei dem bösartiger Code in JavaScript-Pakete eingebettet wurde, was dazu führte, dass viele DApps und Wallets gefährdet waren; oder der Fall von Anthropic, der enthüllte, dass chinesische Hacker über Claude Code den bislang größten AI-automatisierten Cyber-Spionageangriff gestartet haben, sollten als Warnung dienen.