文章总结： 本文介绍了2026年3月24日发生的LiteLLM供应链投毒事件，攻击者TeamPCP通过CI/CD供应链攻击在1.82.7和1.82.8版本中植入恶意代码，实现自执行凭证窃取，目标涵盖SSH密钥、Git凭据、AWS、Kubernetes、Azure、Docker及加密钱包等多种敏感凭证。该事件还波及其他知名开源项目，攻击者利用滚雪球方式在5天内连续突破多个项目防线。文章提供了检测方法：通过pipshow确认版本、排查litellm_init.pth文件以及监控异常请求至models.litellm.cloud，建议受影响用户回退至安全版本，并引用了Microsoft、Snyk、Datadog等多方安全研究来源。 综合评分： 66 文章分类： 供应链安全,威胁情报,漏洞分析,AI安全,漏洞预警

LiteLLM供应链投毒

prompt prompt

掌控安全EDU

2026年3月26日 14:10 江西

一、前言

LiteLLM 投毒事件（2026年3月24日）是一起典型的、由安全工具链引发的高级供应周链攻击。该事件不仅影响了 LiteLLM 这一核心 AI 基础设施，还揭示了攻击者 TeamPCP 如何通过“滚雪球”窃取凭据，在短短 5 天内连续击穿多个知名开源项目的防御

二、概览

受影响版本：1.82.7、1.82.8

攻击属性：CI/CD 供应链攻击

恶意行为：自执行凭证窃取（systeminfo、env、sshkey、git、aws、k8s、azure、docker、ssl/tls、加密钱包）

检测标志：pip show litellm 确认版本号【1.82.7、1.82.8】如安装部署，可通过pip install litellm == 安全版本

存在 litellm_init.pth 文件；异常请求至 models.litellm.cloud

二、Ref

1、https://github.com/BerriAI/litellm/issues/24512

2、https://futuresearch.ai/blog/no-prompt-injection-required/

3、Microsoft Security Blog:Guidance for detecting, investigating, and defending against the Trivy supply chain compromise (2026-03-24).

4、Snyk Security Research:How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM (2026-03-24).

5、Datadog Security Labs:LiteLLM compromised on PyPI: Tracing the March 2026 TeamPCP supply chain campaign.

6、LiteLLM Official Blog:Security Update: Suspected Supply Chain Incident – March 24, 2026.

7、Simon Willison’s Weblog:Malicious litellm_init.pth in litellm 1.82.8 — credential stealer.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU prompt prompt《LiteLLM供应链投毒》