2026-03-30 00:36:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 热门PyPI包LiteLLM遭黑客组织TeamPCP投毒攻击，恶意版本1.82.7和1.82.8部署信息窃取工具，窃取SSH密钥、云令牌、Kubernetes机密等敏感数据，约50万台设备受影响。攻击分三阶段：凭据窃取、Kubernetes横向移动和持久化后门安装。建议用户立即更换凭据、检查持久化痕迹、审查集群并监控可疑域名。 综合评分： 87 文章分类： 供应链安全,恶意软件,威胁情报,漏洞预警,应急响应

cover_image

热门 PyPI 包 LiteLLM 遭投毒，窃取凭据和认证令牌

Lawrence Abrams Lawrence Abrams

代码卫士

2026年3月25日 12:06 北京

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

黑客团伙TeamPCP 仍在持续发动供应链攻击，攻陷了位于 PyPI 平台上的热门 Python 包 “LiteLLM”，声称在攻击中已窃取数十万台设备的数据。

LiteLLM 是一款开源 Python 库，充当通过一个 API 就能调用多个大语言模型提供商的网关。该包非常热门，每日下载量超过340万次，过去一个月的下载量超过9500万次。

Endor Labs 表示，威胁人员攻陷了该项目并将恶意版本 LiteLLM 1.82.7和1.82.8发布到 PyPI 平台，部署了一款信息窃取工具，收割大量敏感数据。黑客团伙 TeamPCP 声称发动了此次攻击。该团伙被指是最近发生的多起高级别攻击的幕后黑手，如 Aqua Security 公司的 Trivy 漏洞扫描器数据遭泄露并波及多个项目如 Aqua Security Docker 镜像、Checkmarx KICS 项目、LiteLLM等。该团伙被指通过恶意脚本攻击 Kubernetes 集群，如检测到面向伊朗配置的系统则会擦除所有机器；反之，则会在位于其它地区的设备上安装一个新的 CanisterWorm 后门。

消息人士表示，被盗设备约为50万台，其中许多是重复的。VX-Underground 也认为“受感染设备”数据量相近。不过目前尚无法核实数据的真实性。

LiteLLM 供应链攻击

Endor Labs 报道称，威胁人员今天推送了两个 LiteLLM的恶意版本，每个都包含一个隐藏的 payload，一旦导入该包就会执行。

恶意代码被注入 ‘litellm/proxy/proxy_server.py’ 作为base64位编码的 payload，而当该模块导入时就会被解码并执行。LiteLLM 1.82.8 版本引入一个更具攻击性的特性，即在 Python 环境下安装一个名为 “litellm_init.pth”的 “.pth” 文件。由于 Python 在启动时会自动执行所有的 “.pth” 文件，因此不管 Python 何时运行，该恶意代码都会被执行，即使在未使用 LiteLLM 的情况下也不例外。一旦执行 payload，它最终会部署 “TeamPCP Cloud Stealer” 的一个变体以及一个持久性脚本。分析发现，该 payload 包含与 Trivy 供应链攻击中使用的几乎一样的凭据窃取逻辑。

研究人员提到，“一旦被触发，payload 就会执行三阶段攻击：窃取凭据（SSH密钥、云令牌、Kubernetes 机密、密币钱包和 .env 文件）、尝试通过将特权 pod 部署到每个节点的方式在 Kubernetes 集群中横向移动，以及安装一个持续运行的 systemd 后门，用于轮询获取额外的二进制文件。这些数据被提取后加密并发送到受攻击者控制的域名。”

该窃取器收割了大量凭据和认证机密，包括：

通过运行 hostname、pwd、whoami、uname –a、ip add和printenv 命令的系统侦查。
SSH密钥和配置文件。
AWS、GCP和Azure的云凭据。
Kuernetes 服务账号令牌和集群密钥。
环境文件如 “.env” 变体等。
数据库凭据和配置文件。
TLS私钥和CI/CD密钥。
密币钱包数据。

该云窃取器 payload 还包括一个额外的 base64编码脚本，该脚本伪装成“系统遥测服务”的systemd 用户服务，定期连接位于 checkmarx[.]zone 的一个远程服务器来下载并执行更多的 payload。被导数据绑定到名为“tpcp.tar.gz”的加密文档并发送给受攻击者控制的基础设施 models.litellm[.]cloud供后续访问。

立即更换被暴露凭据

目前LiteLLM 的两个恶意版本均已从 PyPI 删除，目前最新的干净版本是 1.82.6。

强烈建议使用 LiteLLM 的组织机构立即：

检查是否安装了 1.82.7 或 1.82.8 版本。
立即更换在受影响设备上使用或在其代码中发现的所有密钥、令牌和凭证。
查找持久化痕迹，如 ~/.config/sysmon/sysmon.py 及相关 systemd 服务。
检查系统中是否存在可疑文件，如 /tmp/pglog 和 /tmp/.pg_state。
审查 Kubernetes 集群中 kube-system 命名空间下是否存在未授权的 Pod。
监控发往已知攻击者域名的出站流量。

如疑似攻陷情况，应认为受影响系统上的所有凭据都应被认为是被暴露的且应立即更换。实际有很多数据泄露事件都源自企业没有更换凭据、密钥以及认证令牌。研究人员和威胁人员均曾表示，虽然更换密钥的操作较为繁琐，但却是阻止供应链攻击的最佳方式之一。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Lawrence Abrams Lawrence Abrams《热门 PyPI 包 LiteLLM 遭投毒，窃取凭据和认证令牌》