Malware Parah Serang LiteLLM, Sertifikasi Keamanan Diragukan di Tengah Krisis

Malware berbahaya ditemukan dalam proyek open source LiteLLM yang sangat populer digunakan oleh jutaan developer. Malware ini masuk melalui dependensi dan mencuri semua kredensial login yang ditemuinya untuk memperluas infeksinya ke lebih banyak proyek open source dan akun. Penemuan malware dilakukan oleh Callum McMahon yang mengalami gangguan sistem setelah mengunduh software tersebut. LiteLLM sebelumnya mengklaim telah lolos sertifikasi SOC2 dan ISO 27001 yang diberikan oleh Delve, startup Y Combinator yang kini dituduh memalsukan data dan laporan audit. Meski sertifikasi dimaksudkan untuk menjamin keamanan, serangan malware ini membuktikan bahwa sertifikasi tidak menjamin kebal dari serangan. LiteLLM sedang aktif bekerja sama dengan Mandiant untuk investigasi dan memperbaiki masalah tersebut. Kejadian ini menimbulkan kekhawatiran mengenai keandalan sertifikasi keamanan yang dikeluarkan oleh pihak ketiga dan menunjukkan risiko besar dari dependensi perangkat lunak yang tidak diawasi dengan baik. Kepercayaan kepada produsen sertifikasi dan praktik keamanan open source boleh jadi menurun, mendorong pengetatan regulasi dan evaluasi ulang standar keamanan di industri ini.