Olivia
Online
CS
@CS85164491
🇫🇷Software Architect, CEO, ex. SRE, Sec & IA, RedTeam, CTO. Motard ✌🏻
Bordeaux / Paris
Joined December 2019
1.3K Following
97 Followers
4.3K Posts
Software horror: litellm PyPI supply chain attack.
Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords.
LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm.
Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks.
Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages.
Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.
@InseeFr @CommuTERLyon Bonjour,
De quand date les données et comment sont-elles contrôlées ?
J’ai comme un doute… “au moins 11 ménages”.
Private satellite imaging companies are restricting access to imagery over Iran, making it difficult to verify destruction caused by U.S./Israeli strikes. I developed a method to detect building damage in open source radar imagery, now peer reviewed:
https://t.co/OAXynsosnt
DevOps engineers explaining Kubernetes to the team. 😂
Who to follow
Maltemo
@Maltemo
🇫🇷 - Security auditor. In my free time, interested in development, OSINT & Forensic. Eclectic hobbies and interests.
Nico Grassetto
@NicoGrassetto
AI Apps Lead @Microsoft - Healthcare, Mobility, Research & Education | AI platform | AI gateway | AI services @Microsoft
@CUBoulder
Views & opinions are my own.
Ronan Barbot
@msansm1
Développeur Java, web, et tout plein d'autre choses...
#iran #persepolis #satrapi
J'ai pu voir la BD de Satrapi
En tant qu'Iranienne issue de famille religieuse et pauvre, contrairement oui à 95% des Iraniens partis à l'étranger (merci les études). Donc je donne mon avis aussi en tant que personne ayant beaucoup plus connu l'Iran
DevOps unpopular opinions thread 🧵
Docker Compose is better than Kubernetes for 90% of use cases
Le projet réellement « très inquiétant », c’était de décapiter un enseignant
Coucou, les défenseurs du droit international de dernière heure : les premiers shaheds lancés en Ukraine l’étaient sous la supervision directe des militaires iraniens. C’était OK pour le droit international ? Pas d’agression ? Le non-respect des sanctions pour soutenir la Russie?
Ceux qui scandent "Ni Chah, ni Mollah, ni USA" soutiennent le régime des mollahs.
Nos condoléances à LFI et surtout à Rima Hassan et Caron pour cette perte … 🫡😉#kotletkhamenei
All Iranians are celebrating.
The worst people in the world are crying.
La France insoumise souhaite rappeler aux millions d’Iraniens qui célèbrent la mort du dictateur que leur joie n’est pas compatible avec le droit international.
TA GUEULE
@RimaHas Honteux de voir une eurodéputée française soutenir les mollahs.
Un régime qui réprime son peuple dans le sang — 30 000 civils tués en moins de deux mois --, qui finance le Hamas et déstabilise toute la région.
À bas la dictature des mollahs.
Force au courageux peuple iranien.
Le billet d'Anne-Sophie de Rous sur le lynchage de Quentin. Extrêmement inattendu de la part de la RTS, je vous recommande.
https://t.co/Vjshj0dA6c
@mbompard Les faits sont cruels, monsieur Bompard
En France, de nombreux médias ont fait le choix éditorial d'adopter le comptage de l'ONG Iran Human Rights, basée en Norvège, pour objectiver les événements en Iran.
Un chiffre est donc martellé : la répression sanglante du régime aurait déjà fait 3 428 morts.
Or.. C'est faux.🧵
@ZohraBitan 6 fois plus de mort que Pinochet.
Un bain de sang,
soutenu ce soir, place de la République,
par la gauche Française.
Piratage du ministère de l'Intérieur: auprès de BFMTV, les équipes de Beauvau confirment que les hackers ont eu accès "à des applicatifs métiers".
Autrement dit, des outils et logiciels internes, avec potentiellement à la clef des accès à des bases de données.
Last Seen Users on Sotwe
Trends for you
Most Popular Users
Elon Musk 
@elonmusk
240.5M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.7M followers
Cristiano Ronaldo
@cristiano
110.4M followers
Narendra Modi
@narendramodi
107M followers
Rihanna
@rihanna
97.6M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.9M followers
KATY PERRY
@katyperry
87.5M followers
Taylor Swift
@taylorswift13
81.4M followers
Lady Gaga
@ladygaga
72.9M followers
Kim Kardashian
@kimkardashian
69.7M followers
Virat Kohli
@imvkohli
69.7M followers
YouTube
@youtube
68.7M followers
Bill Gates
@billgates
63.8M followers
The Ellen Show
@theellenshow
62.5M followers
Neymar Jr
@neymarjr
62.4M followers
CNN
@cnn
61.9M followers
X
@x
60.8M followers
Selena Gomez
@selenagomez
60.6M followers