När en uppdatering i bakgrunden stjäl dina lösenord

En ekonom på ett medelstort företag börjar använda ett AI-verktyg för att sammanfatta kvartalsrapporter. Det fungerar bra, sparar tid och kollegorna är imponerade.

Vad hon inte vet är att verktyget i bakgrunden använder ett mjukvarubibliotek som just har kapats och att molnnycklar, inloggningar och känslig information från datorn redan kan ha skickats vidare till en okänd server.

Det låter som ett hypotetiskt skräckscenario. Men i mars 2026 hände just detta.

Vad var det som hände?

Mellan den 19 och 27 mars 2026 genomförde hotgruppen TeamPCP en serie supply chain-attacker mot flera välkända verktyg och bibliotek: Trivy, Checkmarx KICS, LiteLLM och Telnyx. Gemensamt för dem var att de används i utvecklings-, säkerhets- och AI-miljöer där de ofta har tillgång till känsliga nycklar och konfigurationer.

Den mest uppmärksammade attacken drabbade LiteLLM, ett populärt bibliotek med öppen källkod som fungerar som ett nav mellan applikationer och AI-tjänster som OpenAI, Anthropic och Google. Två manipulerade versioner publicerades på PyPI den 24 mars och låg uppe i ungefär tre timmar innan de stoppades. Några timmar kan låta som kort tid, men LiteLLM laddas ner miljontals gånger per dag, vilket innebär att skadlig kod snabbt kan spridas till många olika miljöer.

När säkerhetsverktyget blir vägen in

Det mest anmärkningsvärda är att kedjan började i ett säkerhetsverktyg. Trivy används för att hitta sårbarheter – men den komprometterade versionen blev istället vägen in i andra system.

LiteLLM använde Trivy i sin egen byggprocess. När angriparna kom över publiceringsnycklar kunde de ladda upp manipulerade versioner av LiteLLM som såg helt legitima ut. Det är som att någon stjäl nyckeln till apotekets lager och byter ut innehållet i förpackningarna innan de når hyllan.

Allt ser rätt ut. Men innehållet är utbytt.

Det räcker att använda fel tjänst vid fel tillfälle

Det här låter komplext och är lätt att avfärda som ett problem för utvecklare och IT-avdelningar. Men så enkelt är det inte längre. AI-verktyg för att sammanfatta rapporter, analysera data eller automatisera arbetsflöden används idag av ekonomiavdelningar, HR-team, säljorganisationer och ledningsgrupper. Många av dessa tjänster bygger i sin tur på bibliotek och komponenter som användaren aldrig ser.

Du behöver alltså inte själv ha installerat LiteLLM för att påverkas. Det kan räcka med att använda en tjänst som i sin tur använder ett manipulerat beroende – så är man i farozonen utan att veta om det.

Den skadliga koden samlar in inloggningsuppgifter, lösenord, molnnycklar och annan känslig information från drabbade datorer, krypterar allt och skickar det vidare till angriparnas servrar. Om programmet körs i en servermiljö kan det dessutom sprida sig vidare till andra system i nätverket.

En kedja som bygger på förtroende

Vi skrev nyligen om supply chain-attacken mot Notepad++ – en incident med samma grundprincip. Angriparna riktar sig inte mot ditt företag direkt, utan mot något i leveranskedjan du förlitar dig på. Skillnaden den här gången är skalan. TeamPCP hoppade systematiskt från mål till mål och använde stulna nycklar från en attack som ingång till nästa.

Efter LiteLLM drabbades Telnyx, ett bibliotek för telekommunikationstjänster, där angriparna enligt rapporter gömde skadlig kod i ljudfiler. Säkerhetsföretaget Wiz har kunnat knyta samman samtliga attacker till TeamPCP genom gemensamma tekniska fingeravtryck.

Enligt säkerhetsforskare vid Aikido använde gruppen även AI för att automatisera delar av sina angrepp, vilket beskrivs som ett av de första dokumenterade fallen av AI-stödd supply chain-attack.

Svenska företag är inte immuna

Även svenska organisationer använder den här typen av digitala leveranskedjor och vi är knappast bättre rustade än de verksamheter som nyligen drabbats. MSB:s Cybersäkerhetskollen 2025 visar att sju av tio organisationer saknar grundläggande säkerhetsarbete kring digitala leveranskedjor. Det är precis den typ av svaghet som gör supply chain-attacker så effektiva.

MSB pekar också på att 65 procent av organisationerna saknar kompetens för att stärka sitt säkerhetsarbete, och att uppföljning av rutiner ofta brister. I praktiken innebär det att många företag varken har koll på vilka dolda beroenden deras system innehåller, eller kapacitet att agera snabbt när en liknande attack inträffar.
I LiteLLM-fallet räckte några timmar – de flesta organisationer hade inte ens märkt att något var fel under den tiden.

Det handlar inte bara om brandväggar

För små och medelstora företag som använder AI-tjänster, molnplattformar eller automatiseringsverktyg är lärdomen tydlig. Det handlar inte bara om att ha ett starkt lösenord eller en brandvägg. Det handlar också om att ha en överblick.

Vilka tjänster använder ni? Vilka leverantörer är kritiska? Vilka system har tillgång till känsliga nycklar? Vilka beroenden finns i bakgrunden? Och vad gör ni om något i kedjan visar sig vara komprometterat?

Det behöver inte innebära att varje företag ska granska varje kodrad själv. Men det kräver struktur, uppföljning och en plan för incidenthantering.

Konsekvenserna har bara börjat

Sedan attackerna i mars har supply chain-kampanjen pausats – men konsekvenserna har bara börjat. AI-rekryteringsföretaget Mercor blev det första företaget att offentligt bekräfta att de drabbades via LiteLLM-attacken. Enligt rapporter har TeamPCP dessutom börjat samarbeta med en ransomware-grupp för att tjäna pengar på de stulna uppgifterna.

Det visar varför supply chain-attacker är så allvarliga. Den första incidenten är sällan slutet. Stulna nycklar, konton och konfigurationer kan användas långt senare för nya intrång, utpressning eller datastöld.