Deutscher IT-Sicherheitsexperte arbeitet an mehreren Bildschirmen mit Sicherheitswarnungen in einem abgedunkelten Büro

LiteLLM-Angriff auf PyPI: Supply-Chain-Hack trifft 97-Millionen-Downloads-Paket — was Unternehmen jetzt tun müssen

Anna Anna SchmidtInformationstechnologie
4 Min. Lesezeit 25. März 2026

Zwischen dem 24. März 2026, 10:39 Uhr und 16:00 Uhr UTC wurden die LiteLLM-Versionen 1.82.7 und 1.82.8 auf PyPI mit Schadsoftware veröffentlicht — einem der schwersten Supply-Chain-Angriffe auf Open-Source-KI-Software seit Jahren. Betroffen sind potenziell zehntausende Unternehmen, die LiteLLM als zentrales Gateway für Large Language Models (LLMs) einsetzen.

Was ist LiteLLM — und warum ist der Angriff so gefährlich?

LiteLLM ist ein Open-Source-Python-Paket, das als einheitliches Interface für über 100 verschiedene KI-Sprachmodelle dient — darunter OpenAI GPT-4, Anthropic Claude und Google Gemini. Es wird monatlich mehr als 97 Millionen Mal heruntergeladen und gilt als Standard-Infrastruktur für Unternehmen, die KI-Anwendungen in ihre Systeme integrieren.

Am 24. März 2026 entdeckte der Sicherheitsforscher isfinne, dass zwei neue Versionen des Pakets Schadcode enthielten. Die kompromittierten Versionen (1.82.7 und 1.82.8) enthielten Angriffscode in der Datei proxy_server.py, der bei der Installation automatisch ausgeführt wurde.

Was der Schadcode tat:

  • Extraktion von Umgebungsvariablen, SSH-Schlüsseln und Cloud-Zugangsdaten
  • Auslesen von Datenbankpasswörtern
  • Exfiltration aller gefundenen Daten an eine nicht autorisierte externe Domain

Wie der Angriff vorbereitet wurde: die Angriffskette

Der Angriff war das Ergebnis einer mehrstufigen Lieferkettenkompromittierung:

  1. 19. März 2026: Das Sicherheitstool Trivy (Aqua Security) wurde über gefälschte GitHub-Commits kompromittiert
  2. 21. März 2026: Checkmarx AST GitHub Actions wurden angegriffen
  3. 24. März 2026: Mithilfe des gestohlenen PyPI-Publishing-Tokens wurde LiteLLM vergiftet

Die Angreifer hatten gezielt Sicherheitswerkzeuge als Einstiegspunkt gewählt — eine taktische Raffinesse, die darauf hindeutet, dass es sich um eine professionell organisierte Gruppe handelt. Google Mandiant wurde für die forensische Analyse hinzugezogen.

Das gesamte LiteLLM-Paket wurde am 24. März 2026 auf PyPI unter Quarantäne gestellt — alle Versionen sind vorübergehend nicht mehr abrufbar.

Bin ich betroffen? Was IT-Verantwortliche jetzt prüfen müssen

Unternehmen, die LiteLLM in ihren Systemen einsetzen, sollten umgehend handeln. Laut Experten für IT-Sicherheit sind dies die wichtigsten Sofortmaßnahmen:

1. Versionsprüfung Prüfen Sie, ob die Versionen 1.82.7 oder 1.82.8 in Ihrer Produktions- oder Entwicklungsumgebung installiert sind:

pip show litellm

2. Credential-Rotation Falls eine der betroffenen Versionen installiert war, müssen sofort alle exponierten Zugangsdaten rotiert werden:

  • API-Schlüssel (OpenAI, Anthropic, Google, AWS, Azure)
  • Datenbankpasswörter
  • SSH-Schlüssel
  • Alle anderen in .env-Dateien oder System-Umgebungsvariablen gespeicherten Secrets

3. Log-Analyse Überprüfen Sie Netzwerk-Logs auf ungewöhnliche ausgehende Verbindungen im Zeitfenster 24. März 2026, 10:39–16:00 UTC.

4. Dependency-Audit Führen Sie ein vollständiges Software-Bill-of-Materials (SBOM)-Audit aller Python-Abhängigkeiten durch — nicht nur LiteLLM.

Was dieser Angriff über moderne Software-Lieferketten aussagt

LiteLLM ist kein Einzelfall. Nach dem Angriff auf xz-utils (2024) und log4j (2021) zeigt dieser Vorfall erneut: Je populärer ein Open-Source-Paket, desto attraktiver ist es als Angriffsziel. Besonders kritisch ist dabei der sogenannte „Vertrauenstransfer" — Angreifer kompromittieren zuerst ein vertrauenswürdiges Sicherheitstool (Trivy), um dann dessen Vertrauen für den Angriff auf das eigentliche Ziel zu nutzen.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben Supply-Chain-Angriffe auf Software-Abhängigkeiten im Jahr 2025 um 68 Prozent zugenommen. Für 2026 erwartet das BSI eine weitere Eskalation, insbesondere im Bereich KI-bezogener Bibliotheken.

Wann sollten Unternehmen einen IT-Sicherheitsexperten hinzuziehen?

Nicht jede IT-Abteilung ist in der Lage, einen Supply-Chain-Angriff eigenständig zu bewerten und vollständig zu bereinigen. Ein externer IT-Sicherheitsberater ist dann sinnvoll, wenn:

  • Die betroffene Infrastruktur Cloud-Dienste, Kundendaten oder Zahlungsdaten verarbeitet
  • Keine eigene SIEM- oder Monitoring-Infrastruktur vorhanden ist
  • Gesetzliche Meldepflichten (NIS2, DSGVO) greifen — in Deutschland müssen schwerwiegende Sicherheitsvorfälle der zuständigen Behörde innerhalb von 72 Stunden gemeldet werden
  • Das interne Team keine Erfahrung mit forensischer Log-Analyse hat

Ein IT-Sicherheitsberater kann innerhalb von 24 bis 48 Stunden den tatsächlichen Umfang des Schadens ermitteln und Maßnahmen ableiten — oft deutlich schneller und günstiger als ein interner Krisenversuch ohne Expertise.

Auf Expert-Zoom finden Sie IT-Sicherheitsexperten, die auf Incident Response und Python-Infrastrukturen spezialisiert sind. Ein erstes Beratungsgespräch hilft Ihnen, den Ernst der Lage einzuschätzen — bevor der nächste Angriff Sie unvorbereitet trifft.

Langfristige Maßnahmen: So schützen Sie Ihre Lieferkette

Der LiteLLM-Vorfall ist eine Erinnerung daran, dass Software-Sicherheit nicht mit dem Einmaligen-Update endet. IT-Experten empfehlen Unternehmen folgende strukturelle Maßnahmen für die Zukunft:

Dependency Pinning: Statt pip install litellm (immer neueste Version) verwenden Sie exakt versionierte Abhängigkeiten in einer requirements.txt oder pyproject.toml. So werden automatische Updates auf kompromittierte Versionen verhindert.

Privater PyPI-Mirror: Unternehmen mit hohen Sicherheitsanforderungen betreiben einen eigenen internen Paket-Mirror, auf dem nur geprüfte Versionen verfügbar sind. Neue Pakete werden erst nach manuellem Security-Review freigeschaltet.

Automatisierte Schwachstellenscans: Tools wie Dependabot (GitHub), Snyk oder OWASP Dependency-Check prüfen täglich alle Abhängigkeiten auf bekannte Sicherheitslücken und benachrichtigen das Entwicklerteam proaktiv.

Zero-Trust-Netzwerkarchitektur: Anwendungen, die externe API-Schlüssel verarbeiten, sollten in isolierten Netzwerksegmenten laufen — ohne ausgehenden Internetzugriff, außer auf explizit whitegelistete Dienste. Der LiteLLM-Schadcode hätte in einer solchen Architektur keine Daten exfiltrieren können.

Diese Maßnahmen sind kein Hexenwerk, aber ihre Implementierung erfordert technische Expertise und Zeit — zwei Ressourcen, die in vielen kleinen und mittelständischen Unternehmen knapp sind. Genau hier kann ein externer IT-Berater den Unterschied machen: nicht als Krisenhelfer, sondern als strategischer Partner für eine robuste Sicherheitsarchitektur.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle IT-Sicherheitsberatung. Bei einem konkreten Sicherheitsvorfall wenden Sie sich umgehend an einen qualifizierten IT-Spezialisten.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Business

Für Unternehmen

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen