Contexto

A LiteLLM, uma plataforma de código aberto que fornece aos desenvolvedores acesso fácil a uma ampla gama de modelos de inteligência artificial e recursos de gerenciamento de gastos, tornou-se uma ferramenta popular na comunidade de inteligência artificial. O projeto atraiu um grande número de contribuidores e usuários no GitHub.

Descoberta de Malware

Um pesquisador de segurança identificou código malicioso incorporado a uma dependência da qual a LiteLLM depende. O malware roubou credenciais de login de qualquer sistema que infectou, permitindo que se espalhasse para pacotes e contas de código aberto adicionais. O computador do pesquisador desligou após baixar a LiteLLM, o que levou à descoberta do código malicioso.

Resposta e Investigação

A equipe de engenharia da LiteLLM começou um esforço intensivo para remediar a violação. A empresa anunciou que está conduzindo uma investigação ativa em parceria com a Mandiant e planeja compartilhar lições técnicas com a comunidade de desenvolvedores assim que a revisão forense esteja completa.

Questão de Conformidade

Apesar do incidente, o site da LiteLLM continua exibindo certificações para SOC 2 e ISO 27001, que foram emitidas pela startup de conformidade Delve, apoiada pelo Y Combinator. A Delve enfrentou acusações de enganar os clientes sobre suas práticas de conformidade, embora negue essas alegações. A situação destaca que as certificações não previnem automaticamente ataques de suprimentos, mesmo quando cobrem políticas relacionadas a dependências de software.

Reação da Indústria

O episódio despertou discussões entre desenvolvedores e profissionais de segurança sobre a confiabilidade das certificações de conformidade e a importância da segurança vigilante da cadeia de suprimentos. Observadores notaram a ironia de um projeto comercializado como "Seguro por Delve" ainda ser vítima de malware.

Usado: News Factory APP - descoberta e automação de notícias - ChatGPT para Empresas