Contexto
A LiteLLM, uma plataforma de código aberto que fornece aos desenvolvedores acesso fácil a uma ampla gama de modelos de inteligência artificial e recursos de gerenciamento de gastos, tornou-se uma ferramenta popular na comunidade de inteligência artificial. O projeto atraiu um grande número de contribuidores e usuários no GitHub.
Descoberta de Malware
Um pesquisador de segurança identificou código malicioso incorporado a uma dependência da qual a LiteLLM depende. O malware roubou credenciais de login de qualquer sistema que infectou, permitindo que se espalhasse para pacotes e contas de código aberto adicionais. O computador do pesquisador desligou após baixar a LiteLLM, o que levou à descoberta do código malicioso.
Resposta e Investigação
A equipe de engenharia da LiteLLM começou um esforço intensivo para remediar a violação. A empresa anunciou que está conduzindo uma investigação ativa em parceria com a Mandiant e planeja compartilhar lições técnicas com a comunidade de desenvolvedores assim que a revisão forense esteja completa.
Questão de Conformidade
Apesar do incidente, o site da LiteLLM continua exibindo certificações para SOC 2 e ISO 27001, que foram emitidas pela startup de conformidade Delve, apoiada pelo Y Combinator. A Delve enfrentou acusações de enganar os clientes sobre suas práticas de conformidade, embora negue essas alegações. A situação destaca que as certificações não previnem automaticamente ataques de suprimentos, mesmo quando cobrem políticas relacionadas a dependências de software.
Reação da Indústria
O episódio despertou discussões entre desenvolvedores e profissionais de segurança sobre a confiabilidade das certificações de conformidade e a importância da segurança vigilante da cadeia de suprimentos. Observadores notaram a ironia de um projeto comercializado como "Seguro por Delve" ainda ser vítima de malware.
This article was written with the assistance of AI.
News Factory SEO helps you automate news content for your site.