AI pengembangan komunitas mengalami insiden keamanan besar pada 24 Maret. Paket Python LiteLLM yang banyak digunakan untuk menghubungkan berbagai LLM versi 1.82.8 telah disusupi secara malicious, dan hanya dengan menjalankan

pip install litellm

dapat menyebabkan kebocoran satu kali dari SSH kunci, kredensial AWS/GCP/Azure, pengaturan Kubernetes, otentikasi Git, variabel lingkungan (semua API kunci), riwayat Shell, dompet cryptocurrency, kunci SSL, rahasia CI/CD, password database, dan lain-lain ke server jarak jauh.

Cakupan infeksi: proyek yang bergantung pada LiteLLM semuanya terpengaruh

LiteLLM memiliki jumlah unduhan mencapai 97 juta kali per bulan, sehingga skala penggunaannya sudah sangat besar. Lebih parah lagi, sifat serangan rantai pasokan membuat kerusakan jauh melampaui pengguna langsung—setiap paket yang bergantung pada LiteLLM juga akan terkena dampak. Contohnya,

pip install dspy

(yang bergantung pada litellm>=1.64.0) juga akan terinfeksi, begitu pula proyek besar lainnya.

Berdasarkan analisis Andrej Karpathy di X, versi malicious yang dirilis kurang dari satu jam, dan penemuan cepatnya sangat tidak terduga: pengembang Callum McMahon menggunakan plugin MCP di Cursor, yang membawa LiteLLM sebagai dependensi transitif. Saat menginstal versi 1.82.8, komputer langsung kehabisan memori dan crash. Jika bukan karena bug di kode penyerang, serangan ini mungkin berlangsung selama berminggu-minggu tanpa terdeteksi.

Akun CEO LiteLLM diduga diretas, menunjukkan adanya kegiatan serangan yang lebih besar

Para peneliti keamanan menunjukkan bahwa akun GitHub dan PyPI LiteLLM diduga diretas, dan kejadian ini bukanlah insiden tunggal—aksi serangan yang sama (TeamPCP) juga melakukan serangan besar-besaran terhadap ekstensi VSCode dan Cursor, menyisipkan trojan akses jarak jauh bernama “ZOMBI”, serta men-deploy server VNC tersembunyi dan proxy SOCKS. Dikabarkan telah mencuri lebih dari 500.000 kredensial dan mempengaruhi banyak perusahaan besar terkenal.

Langkah cepat: periksa versi, turunkan versi

Versi yang terpengaruh adalah 1.82.8. Jika sistem sudah menginstal versi ini, anggap semua kredensial telah bocor, dan segera lakukan rotasi:

Periksa versi pip show litellm # Turunkan versi ke versi aman pip install litellm==1.82.7

Karpathy: Saatnya meninjau kembali budaya ketergantungan

Karpathy mengungkapkan refleksi mendalam dari insiden ini: dalam rekayasa perangkat lunak tradisional, dependensi dianggap sebagai alat efisiensi seperti “menggunakan batu bata untuk membangun piramida”, tetapi serangan rantai pasokan membuat asumsi ini semakin berbahaya. Ia berpendapat bahwa sebaiknya prioritas diberikan untuk langsung “mengambil” (yoink) fungsi yang dibutuhkan dari LLM, bukan mengimpor seluruh paket eksternal—terutama jika fungsi tersebut cukup sederhana dan dapat dilakukan secara langsung.

Insiden ini juga menyadarkan komunitas pengembang bahwa, seiring semakin umum AI agent yang otomatis menjalankan

pip install

, garis pertahanan manusia semakin menipis, dan firewall tingkat paket telah beralih dari “nilai tambah” menjadi “kebutuhan dasar”.

Artikel ini tentang serangan rantai pasokan LiteLLM di PyPI: paket AI dengan 97 juta unduhan per bulan yang disusupi malware, mengakibatkan kebocoran kunci SSH dan kredensial API secara massal, pertama kali muncul di Berita Chain ABMedia.