Software horror: litellm PyPI supply chain attack.
Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords.
LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm.
Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks.
Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages.
Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.
⚽ GUENDOUZİ: 9 MAÇTA 9 KEZ 90 DAKİKA, HER MEVKİDE
Stoper, 6 numara, 8 numara, sol ön — nereye koysan oynuyor. %91.2 pas isabeti, %63.3 ikili mücadele kazanma, 7.4 ortalama puanla sessiz kahramanımız.
Sercan Hamzaoğlu'nun dediği gibi: "Formanın ağırlığını bilenlerden." Alper Öcal de altını çizdi: tüm üretkenlik onun bağlantıları ve servisleriyle geldi. Rıdvan Dilmen'in sözü ise net: "Fenerbahçe Guendouzi'ye dua edecek."
Asensio'nun parlaklığı gözleri kamaştırırken, bu adamın takım için yaptığı fedakarlığı es geçmeyelim.
🛡️ Savunmanın yıldızı: N. Kanté (7.5)
💪 9/15 ikili mücadele (%60)
📊 3 top kesme | 12 top kapma | 2 kazanılan müdahale
Orta sahada adeta bir dinamo gibi çalıştı ve rakibe geçit vermedi! Kritik deplasman zaferinin gizli kahramanı. 🔒 💛💙
🏥 STOPER HATTINDA KRİZ: 5 MAÇA 1 DOĞAL STOPER
Škriniar 4 hafta, Söyüncü 3-4 hafta, Oosterwolde 10-15 gün yok. Álvarez zaten sahalarda değil. Milli araya kadar Forest rövanşı dahil 5 kritik maç var ve elimizde tek orijinal stoper Yiğit Efe Demir. Durumu bir thread'le ele alalım. 👇
🏆 ŞAMPİYON FENERBAHÇE BEKO! 🔥
Türkiye Kupası zaferimizin coşkusu parkeden taşıyor! Kupa koleksiyonumuza bir yenisini daha ekleyen takımımızın kutlama anları görülmeye değer. Omuz omuza nice zaferlere! 💛💙
@fkadev @mustafaefecan23 @ifndefgt Bu arada yazmayı unuttum; backend’e parola ilgili hiçbir şey göndermeden kimlik doğrulama sağlayan kriptografik teknikler de (PAKE) 20+ yıldır biliniyor ama uygulamada pek yaygınlaşamadılar. Sanırım yaygınlaşmadan da parolalar tarih olacak.
Şimdi browser ile parolayı process eden spesifik sunucu arasında tonla farklı sistem olabiliyor. O aradaki sistemlerden atıyorum load balancer takımı log tutucam diye istemeden insanların parolalarını bir dosyaya kaydedince büyük bir incident olmuş oluyor.
API key ile de parolalar farklı kategoride, zira parolalar çok kişisel, aynı parolayı farklı sistemlerde kullanmak çok yaygın bir insan davranışı ve büyük ölçekte engellemek imkansız.
Özetle front end’de parola şifreleyip TLS üzerine bir katman daha örmek çok az görülen bir şey değil, ilk örneğini 20 yıl öncesinden bile hatırlıyorum, en az 3-4 farklı bağlamda da mecburiyetten yapıldığını bizzat biliyorum.
Turns out my book Real-World Cryptography has the highest grade of the top 20 books on cryptography on goodreads by quite the margin (4.56 where the next best rating is 4.30 for the first one in the list)! The only issue is that it's shy a few reviews to reach 100 ratings. Please help :)
https://t.co/dWOe42tSDC
💰 Altın hakkında bildiklerinizi unutun!
İlk altın para nerede basıldı? 🏛️
Altın Standardı ekonomiyi nasıl değiştirdi? 📈
Neden altını ısırarak test ediyorlar? 🤔
Tüm cevaplar ve çok daha fazlası "Altının Matematiği" videosunda! 🎥
📺 İzleyin: https://t.co/ozksvYNcph
#Altın
Intel HW is too complex to be absolutely secure! After years of research we finally extracted Intel SGX Fuse Key0, AKA Root Provisioning Key. Together with FK1 or Root Sealing Key (also compromised), it represents Root of Trust for SGX. Here's the key from a genuine Intel CPU😀