Start/Stimmung/Markt/Supply-Chain-Angriffe auf AI-Infrastruktur: LiteLLM, Axios, Mercor
1. April 2026

Supply-Chain-Angriffe auf AI-Infrastruktur: LiteLLM, Axios, Mercor

LiteLLM, ein weit verbreiteter Open-Source-Proxy fuer AI-APIs, wurde in Version 1.82.7 und 1.82.8 auf PyPI mit Malware kompromittiert. Der Angriff wurde innerhalb weniger Stunden entdeckt und das Paket quarantaenisiert.

Was passiert ist

Betroffene Dateien

Unter anderem: ~/.ssh/, ~/.aws/, ~/.kube/, ~/.config/, ~/.azure/, ~/.docker/, ~/.npmrc, ~/.vault-token, ~/.netrc, ~/.bash_history, ~/.bitcoin/, ~/.ethereum/

Was zu tun ist

Einordnung

NVIDIA AI Director Jim Fan warnt, dass dies eine neue Klasse von Angriffen auf AI-Agents darstellt. Die AI-Infrastruktur wird zunehmend zum Angriffsziel. Simon Willison dokumentierte den Vorfall detailliert.

Supply-Chain-Welle: Axios und Mercor

Eine Woche nach LiteLLM wurde Axios kompromittiert -- der meistgenutzte HTTP-Client im JavaScript-Oekosystem mit 101 Millionen woechentlichen npm-Downloads. In den Versionen 1.14.1 und 0.30.4 wurde eine neue Dependency namens "plain-crypto-js" eingefuegt, ein frisch publiziertes Malware-Paket. Es stahl Credentials und installierte einen RAT (Remote Access Trojan).

Der Angriffsvektor war ein geleakter, langlebiger npm-Token. Die Malware-Pakete wurden ohne zugehoeriges GitHub Release publiziert -- laut Simon Willison ein nuetzliches Heuristik-Merkmal, um kompromittierte Versionen zu erkennen. Axios hat ein offenes Issue fuer Trusted Publishing, das nur GitHub Actions das Publizieren erlauben wuerde. TechCrunch schreibt den Angriff nordkoreanischen Hackern zu.

Das Muster ist identisch zum LiteLLM-Vorfall: Ein kompromittierter Token ermoeglicht das Einschleusen von Schadcode in ein weit verbreitetes Paket. Die Schaeden kaskadieren.

Separat wurde bekannt, dass Mercor, ein AI-Recruiting-Startup mit 10 Milliarden Dollar Bewertung, ueber die LiteLLM-Kompromittierung angegriffen wurde. Mercor arbeitet fuer OpenAI, Anthropic und Meta -- das Unternehmen rekrutiert Fachexperten, die Trainingsdaten fuer AI-Modelle liefern.

Update 3. April 2026: Die Hackergruppe Lapsus$ beansprucht den Angriff und veroeffentlicht Samples aus angeblich 4 Terabyte gestohlener Daten. Die Daten sollen Slack-Kommunikation, interne Tickets, Kandidatenprofile, API-Keys und Details zu den AI-Trainingsprojekten der Kunden enthalten. Meta hat die Zusammenarbeit mit Mercor vorerst pausiert. Eine forensische Untersuchung durch Dritte laeuft. In den USA wurde eine Sammelklage-Untersuchung eingeleitet.

Folgen: Datendiebstahl bei Cisco

Die Auswirkungen der LiteLLM-Kompromittierung reichen weiter als zunaechst angenommen. Laut Heise konnten Cyberkriminelle durch die ueber LiteLLM gestohlenen Credentials auf interne Systeme von Cisco zugreifen. Dabei wurde Quellcode von Cisco und dessen Kunden entwendet. Der Fall zeigt exemplarisch, wie Supply-Chain-Angriffe kaskadieren: Ein kompromittiertes Open-Source-Paket fuehrt zu gestohlenen Zugangsdaten, die wiederum den Zugriff auf voellig andere Unternehmensnetzwerke ermoeglichen. Die Angriffskette LiteLLM -> gestohlene Credentials -> Cisco-Datendiebstahl illustriert, warum Credential-Rotation nach einer Supply-Chain-Kompromittierung nicht optional ist.

Quellen

Nach oben