紧急预警|AI开发者必看LiteLLM遭PyPI供应链投毒

admin
admin
admin
0
文章
0
评论
2026-04-29 05:23:13 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年3月24日PyPI仓库出现LiteLLM库恶意版本1.82.7和1.82.8的供应链投毒攻击,该库月下载量达9700万次。攻击分三阶段执行:静默窃取SSH密钥、云凭证等敏感信息;利用Kubernetes横向渗透;通过.pth文件实现持久驻留。建议立即检查版本并卸载恶意版本,轮换所有API密钥和云凭证,引入依赖安全扫描工具。 综合评分: 85 文章分类: 漏洞预警,供应链安全,安全运营,解决方案,恶意软件

cover_image

紧急预警 | AI开发者必看LiteLLM遭PyPI供应链投毒

枇杷哥 枇杷哥

枇杷熟了

2026年3月26日 08:55 北京

在小说阅读器读本章

去阅读

⚠️ 核心预警一条命令

pip install litellm 即可泄露你的全部密钥!

📢 事件速览

2026年3月24日,AI开发者圈子里炸了锅。

月均下载量高达 9700万次 的Python库 LiteLLM,在PyPI官方仓库悄悄上线了两个”毒版本”——1.82.7 和 1.82.8。

这不是普通的Bug,而是一次精心策划的 供应链投毒攻击

🤖 LiteLLM 是什么?

LiteLLM 是一个开源的 AI API 网关,支持开发者用统一格式调用 OpenAI、Anthropic、Azure 等 100多家 大模型服务商的接口。

GitHub Star 数超过 40k,是 AI/ML 领域的基础设施级工具。

为什么这次攻击格外危险? 正因为它太基础、太常用,不仅是直接用户,所有以 LiteLLM 为依赖的下游项目,同样难逃波及。

⚔️ 攻击是怎么运作的?

这次攻击的技术手段堪称”教科书级”,分三个阶段执行:

第一阶段:信息收割

恶意脚本在主机上静默扫描,窃取:

  • 🔑 SSH 私钥和配置文件
  • ☁️ AWS / GCP / Azure 云凭证
  • 🐳 Kubernetes 配置
  • 📁 Git 凭证
  • 🔐 .env 文件(包含所有 API 密钥)
  • 📝 Shell 历史记录
  • 💰 加密货币钱包
  • 🔒 SSL 私钥、CI/CD 机密、数据库密码

第二阶段:横向渗透

利用 Kubernetes 横向移动工具,在集群节点间悄悄扩散,扩大攻击面。

第三阶段:持久驻留

植入伪装成”系统遥测服务”的后门,长期潜伏。

最狡猾的地方: • 1.82.7版本:恶意代码藏在 proxy_server.py,导入即执行 • 1.82.8版本:利用 Python .pth 特性,Python进程启动即自动触发,无需任何交互

🔍 我中招了吗?立即自查

| 状态 | 版本号 | | — | — | | ❌ 危险版本 | 1.82.7、1.82.8 | | ✅ 安全版本 | 1.82.6 及以下 |

检查当前版本:

pip show litellm

如果版本号是 1.82.7 或 1.82.8,立即执行:

卸载并重装安全版本 pip uninstall litellm -y pip install litellm==1.82.6

🛡️ 不只是卸载这么简单

如果你已经安装过恶意版本,卸载只是第一步,更重要的是:

  • 立即轮换所有密钥

    :AWS、GCP、Azure、OpenAI、Anthropic 等所有 API Key

  • 检查 SSH 密钥

    :吊销并重新生成

  • 审查云账单

    :检查是否有异常资源创建或访问记录

  • 检查 Kubernetes 集群

    :排查是否有未知 Pod 或服务

  • 扫描持久化后门

    :检查系统服务、定时任务、.pth 文件

📊 目前状态

✅ 好消息 • 恶意版本已从 PyPI 撤下 • PyPI 隔离措施已解除 • LiteLLM 维护者已公开确认并处置

⚠️ 坏消息 • 恶意版本在被发现前存在约 3小时,期间下载量不可估计 • 已安装的机器如未主动清理,后门可能仍在运行

💡 写在最后

“Simple pip install can steal your keys.”—— Andrej Karpathy

供应链攻击正在成为针对开发者最高效的攻击手段之一。我们信任的每一个包,都可能成为入口。

🛡️ 安全建议 • 定期审查项目依赖版本 • 在 CI/CD 中引入依赖安全扫描(如 pip-auditsafety) • 对关键凭证实施最小权限原则,并定期轮换

安全不是一次性的检查,而是持续的习惯。

如有疑问或需要应急响应支持,欢迎联系长亭安全应急响应中心

原文链接:https://mp.weixin.qq.com/s/gVxO9vNYu1gNvHnD9mPFsg

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:枇杷熟了 枇杷哥 枇杷哥《紧急预警 | AI开发者必看LiteLLM遭PyPI供应链投毒》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0