文章总结： LiteLLM在PyPI遭供应链投毒，攻击者利用泄露令牌发布含后门的恶意版本1.82.7和1.82.8，可能导致凭证窃取与横向移动。该事件源于Trivy凭证泄露，具有极高隐蔽性与影响范围。建议立即回滚至1.82.6版本，全面轮换相关凭证，排查持久化后门，并封禁相关C2域名以消除威胁。 综合评分： 97 文章分类： 供应链安全,应急响应,恶意软件,漏洞预警,AI安全

【安全预警】AI模型网关LiteLLM遭PyPI供应链投毒

长亭安全应急响应中心

2026年3月25日 18:44 北京

一、事件概述 LiteLLM 是一个轻量级的开源 Python 库，提供统一的标准化接口（兼容 OpenAI API 格式），用于调用超过 100 种主流大语言模型，实现模型间的无缝切换、负载均衡、成本跟踪与统一管理。

2026年3月24日，AI模型代理框架 LiteLLM 在 PyPI 出现供应链投毒事件。攻击者使用已泄露发布令牌发布了恶意版本1.82.7和1.82.8。

该项目影响力极大，其月下载量高达约9500万次，累计下载量达4.8亿次，受影响的下游包多达2112个。

投毒事件时间线（UTC）如下：

2026年2月28日，TeamPCP攻破了Trivy。

2026年3月中旬，TeamPCP通过恶意版本的Trivy获取了LiteLLM的PyPI凭证。

2026年3月24日，litellm==1.82.7 版本发布。

2026年3月24日，litellm==1.82.8 版本发布。

2026年3月24日，曝光窗口期约为46分钟。

2026年3月25日，PyPI下架了相关恶意版本，并建议用户回滚至1.82.6版本。

二、核心风险与影响

1) 触发方式

●v1.82.7: 只要 import litellm.proxy.proxy_server 即触发

●v1.82.8: 通过 .pth 文件在任意 Python 启动时执行，极高隐蔽性

2) 恶意行为

●凭证收集：SSH、云密钥（AWS/GCP/Azure）、K8s 配置、.env、数据库密码、加密钱包等

●横向扩散：K8s 集群内部署特权 Pod

●持久化：systemd 后门、隐匿 C2

三、攻击链与生态影响

●关键洞察：每次入侵都通过窃取凭证解锁下一目标，形成“工具链 → 包管理 → 生产环境”的闭环。

●行动建议：审计 CI/CD 流水线中 Trivy/KICS 等工具的使用，优先启用 OIDC 发布，避免长期 API 令牌。

四、攻击细节分析

4.1 回溯注入点

●proxy_server.py：插入 12 行 base64 payload，导入即执行

●litellm_init.pth：一行隐蔽脚本，subprocess.Popen 解码并执行 payload

4.2 核心 payload 行为

阶段：

1.Stage1 载荷解码 + 实现

图 1：proxy_server.py 中的 12 行注入（第 128-139 行）

2.Stage2 凭证收割

图 2：解码内容 – 来自 Stage 2 凭证收集器的特权 Pod 清单

3.Stage3 持久化（systemd + 云内横向）

图 3：解码内容 – 第三阶段 Stage 3 持久化投递器

五、建议与响应措施

5.1 立刻检查与补救

pip show litellm | grep Version pip uninstall litellm==1.82.7 litellm==1.82.8 -y pip install litellm==1.82.6

5.2 全面凭证轮换

云账号密钥、SSH、API Token、DB 密码、CI/CD Token、k8s等凭据轮换

5.3 清除持久化后门

systemctl list-unit-files | grep -i telemetry systemctl stop sysmon-telemetry 2>/dev/null systemctl disable sysmon-telemetry 2>/dev/null rm -rf ~/.config/sysmon rm -f /etc/systemd/system/sysmon-telemetry.service

5.4 网络/流量预警

●封禁 C2 域名

●命中历史访问后立即隔离主机

5.5 Kubernetes 特别检查

kubectl get pods –all-namespaces –sort-by='{.metadata.creationTimestamp}’ kubectl get events –all-namespaces –field-selector type=Warning

六、检测方案

长亭流量威胁检测响应系统（全悉）已支持LiteLLM供应链投毒事件恶意行为的检测，建议受影响用户及时关注此事件相关的威胁告警日志。

七、IOC

| | | | | — | — | — | | IoC | 类型 | 说明 | | litellm==1.82.7 | PyPI 包 | 恶意版本 | | litellm==1.82.8 | PyPI 包 | 恶意版本 | | 8395c3268d5c5dbae1c7c6d4bb3c318c752ba4608cfcd90eb97ffb94a910eac2 | SHA-256 | 1.82.7 wheel | | d2a0d5f564628773b6af7b9c11f6b86531a875bd2d186d7081ab62748a800ebb | SHA-256 | 1.82.8 wheel | | a0d229be8efcb2f9135e2ad55ba275b76ddcfeb55fa4370e0a522a5bdee0120b | SHA-256 | proxy_server.py 被篡改 | | 71e35aef03099cd1f2d6446734273025a163597de93912df321ef118bf135238 | SHA-256 | litellm_init.pth（仅 1.82.8） | | models.litellm.cloud | 域名 | C2（数据外传） | | checkmarx.zone | 域名 | C2（持久化控制） |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全应急响应中心 《【安全预警】AI模型网关LiteLLM遭PyPI供应链投毒》