Схрестились долі: Паралелі між LiteLLM і Delve, які змінюють правила гри в Кремнієвій долині
Нещодавно в Україні розгорілася скандальна історія, що нагадує ситуації зі світу технологій, які зазвичай зустрічаються лише в серіалах. Під час перевірки популярного відкритого проєкту LiteLLM, розробленого старт-апом, що випускалося Y Combinator, виявлено небезпечне шкідливе програмне забезпечення.
LiteLLM прагне надати розробникам зручний доступ до безлічі моделей ШІ та функцій управління витратами. За інформацією компанії Snyk, проєкт стрімко здобув популярність, завантажуючи до 3,4 мільйона разів на добу, і накопичив понад 40 тисяч зірочок на GitHub, разом з численними вилками, які вказують на його широке використання.
Виявлення шкідливого ПО стало результатом роботи дослідника Каллума МакМахона з FutureSearch, правильно документувавшого проблему. Шкідник потрапив у систему через залежності – програми, на які LiteLLM спирався. Це дало змогу шкідливому ПЗ викрадати облікові дані користувачів, заволодіваючи доступом до додаткових відкритих пакетів і рахунків.
Згідно з розповіддю МакМахона, після завантаження LiteLLM його комп’ютер зазнав збоїв, що спонукало його до детального розслідування. Цікаво, що недолік у коді шкідника призвів до самознищення його системи – це стало підставою для висновку, що код було написано некомпетентно.
Після виявлення загрози команда LiteLLM щосили працює над виправленням ситуації, і попри тривожні обставини, проблему вдалося ідентифікувати досить швидко – впродовж кількох годин.
Проте, у мережі активно обговорюється й інша частина цієї історії. Станом на 25 березня сайт LiteLLM не без пишноти заявляє про наявність сертифікацій SOC2 та ISO 27001, які мають підтверджувати високі стандарти безпеки. Цікаво, що сертифікації була видана стартапом Delve, який нині підозрюють у наданні недостовірних даних своїм клієнтам та використання там же аудиторів для завірення звітів.
Одним із визначальних моментів є те, що такі сертифікації не можуть повністю запобігти інцидентам, на кшталт цього. SOC2 покликаний регламентувати політики безпеки програмного забезпечення, проте вразливості можуть залишатися. Так, інженер Гергей Орош у коментарях до ситуації захоплено зауважив: «О, але ця ситуація справжня. Лише уявіть, LiteLLM справді ‘забезпечений Delve’».
Зі свого боку, генеральний директор LiteLLM Крріш Дхолакія утримався від коментарів про Delve, адже наразі команда зосереджена на усуненні наслідків атаки. «Наша головна пріоритетність – активне розслідування разом із компанією Mandiant. Ми прагнемо поділитися технічними уроками з розробницькою спільнотою після завершення форензічного аналізу», – зазначив він у своєму зверненні.
