Le 24 mars, une importante faille de sécurité a été révélée dans le cercle du développement de l’IA. Le package Python LiteLLM, largement utilisé pour connecter divers grands modèles de langage (LLM), dans sa version 1.82.8, a été compromis par une injection malveillante. En exécutant simplement

pip install litellm

il est possible de provoquer la fuite de clés SSH, de certificats AWS/GCP/Azure, de configurations Kubernetes, d’authentifications Git, de variables d’environnement (toutes les clés API), de l’historique Shell, de portefeuilles de cryptomonnaies, de clés privées SSL, de secrets CI/CD, de mots de passe de bases de données, etc., vers un serveur distant.

Portée de l’infection : tous les projets dépendant de LiteLLM sont affectés.

LiteLLM est téléchargé 97 millions de fois par mois, ce qui en fait une plateforme très largement utilisée. Pire encore, la nature même de la chaîne d’approvisionnement signifie que les dommages dépassent largement les utilisateurs directs — tout package dépendant de LiteLLM peut être compromis. Par exemple,

pip install dspy

(qui dépend de litellm>=1.64.0) est également affecté, tout comme d’autres grands projets.

Selon l’analyse d’Andrej Karpathy sur X, la version malveillante a été mise en ligne en moins d’une heure. Sa détection rapide est une coïncidence : le développeur Callum McMahon a utilisé un plugin MCP dans Cursor, qui introduit LiteLLM comme dépendance transitive. Lors de l’installation de la version 1.82.8, l’ordinateur a épuisé sa mémoire et planté. Si le code de l’attaquant n’avait pas comporté de bug, cette attaque aurait pu passer inaperçue pendant plusieurs semaines.

Le compte du CEO de LiteLLM aurait été compromis, indiquant une opération d’attaque à plus grande échelle.

Les experts en sécurité ont indiqué que les comptes GitHub et PyPI de LiteLLM semblent avoir été piratés. Cet incident n’est pas isolé : la même opération (TeamPCP) a également ciblé en masse les extensions VSCode et Cursor, y implantant un cheval de Troie à distance nommé « ZOMBI », ainsi qu’un serveur VNC caché et un proxy SOCKS. On estime que plus de 500 000 certificats ont été volés, affectant plusieurs grandes entreprises.

Réaction immédiate : vérifier la version, rétrograder

La version affectée est 1.82.8. Si cette version est déjà installée, il faut considérer tous les certificats comme compromis et procéder immédiatement à leur rotation :

Vérifier la version pip show litellm # Rétrograder vers une version sûre pip install litellm==1.82.7

Karpathy : il est temps de repenser la culture de dépendance

Karpathy tire de cet incident une réflexion plus profonde : dans l’ingénierie logicielle traditionnelle, les dépendances sont vues comme des « briques pour construire une pyramide » efficace, mais la chaîne d’approvisionnement rend cette hypothèse de plus en plus risquée. Il pense qu’il faut privilégier l’utilisation des LLM pour « extraire directement » (yoink) les fonctionnalités nécessaires, plutôt que d’introduire des packages externes entiers — surtout lorsque les fonctionnalités sont simples et réalisables.

Cet incident a également sensibilisé la communauté de développement : avec la généralisation de l’automatisation via des agents IA qui exécutent automatiquement

pip install

, la vigilance humaine devient une ligne de défense qui disparaît rapidement. Les pare-feux au niveau des packages ne sont plus une option « supplémentaire » mais une nécessité fondamentale.

Cet article, « LiteLLM PyPI Supply Chain Attack : un package IA de 97 millions de téléchargements mensuels infecté, clés SSH et certificats API divulgués », a été initialement publié sur Chain News ABMedia.