LiteLLM 供应链攻击事件始末

查找币:余老师 | 漏洞披露 | 2026-05-09 16:05 | 8 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## LiteLLM 供应链攻击事件始末本文由查找币安全团队基于安全研究整理发布，旨在分享Web3安全技术，帮助用户提高安全意识。 --- 2026 年 3 月 24 日，AI 开发者们还在敲代码，PyPI 上的 LiteLLM 悄然被“下毒”。月下载量高达 9700 万次的 Python 开源库 LiteLLM，其 PyPI 仓库在凌晨被恶意篡改，两个受污染版本（1.82.7、1.82.8）悄然上线。短短三小时内，数万个开发环境和企业系统可能暴露在数据泄露风险中。与普通攻击不同，这次事件不是孤立的恶意注入，而是黑客组织 TeamPCP 精心策划的连锁攻击。 (https://x.com/LiteLLM/status/2036503343510778061) 查找币(查找币) 自主研发的 Web3 威胁情报与动态安全监控工具查找币监控系统也在第一时间给相关客户推送了相关威胁情报预警：攻击始末此次 LiteLLM 攻击的源头，并非库本身存在漏洞，而是其 CI/CD 流水线中使用的开源安全扫描器 Trivy 早已被攻破。 (https://github.com/BerriAI/litellm/issues/24512) 回溯攻击时间线： 3月19日，TeamPCP 篡改了 Trivy 的 GitHub Action 标签，植入恶意代码； 3月23日，攻击者入侵 Checkmarx KICS 安全扫描工具，为下一步攻击铺路； 3月24日，LiteLLM 的 CI/CD 流水线运行受污染的 Trivy 时，PyPI 发布令牌被窃取，攻击者借此绕过正常发布流程，将两个恶意版本直接推向 PyPI，完成对 AI 核心依赖库的“投毒”。这场攻击的曝光颇具戏剧性——攻击者原本打算悄无声息潜伏，没想到自己在编写恶意代码时出现了疏漏——1.82.8 版本中植入的 litellm_init.pth 文件，会在每次 Python 进程启动时自动执行，并通过子进程反复触发自身，直接导致 FutureSearch 工程师的测试机器内存耗尽、崩溃。正是这个意外的漏洞，让这场本可能潜伏数天甚至数周的攻击提前暴露，否则后果不堪设想。 (https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/) TeamPCP 为 LiteLLM 设计的恶意代码，采用了分阶段执行的策略，隐蔽性强、破坏范围广，且具备持久化和横向扩散能力，远超普通供应链攻击的危害程度。第一阶段为信息收集，恶意脚本会系统性扫描受感染主机的所有敏感数据，涵盖范围极广：从开发者的 SSH 私钥、Git 配置、shell 历史记录，到企业的云服务商(AWS/GCP/Azure) 凭证、Kubernetes 配置、数据库密码，甚至包括加密货币钱包文件、助记词等。值得注意的是，LiteLLM 作为统一调用各类大模型 API 的网关，常存储多个模型提供商的密钥，一旦被攻破，相当于直接向攻击者敞开了企业 AI 基础设施的大门。第二阶段为加密泄露，收集到的所有数据会通过 AES-256-CBC 算法加密，搭配 4096 位 RSA 公钥保护会话密钥，打包成 tar 归档文件后，发送至攻击者控制的虚假域名 models.litellm.cloud——该域名注册于攻击前一天，与 LiteLLM 官方基础设施毫无关联，极具迷惑性。据披露，攻击者已通过此次攻击窃取约 300GB 压缩凭证，涉及 50 万个敏感凭据。第三阶段为持久化与横向移动，这也是此次攻击最危险的后遗症来源。在本地机器上，恶意代码会在用户目录下创建后门脚本 sysmon.py，并通过 systemd 服务实现自启动，即便卸载 LiteLLM，后门仍可能持续运行；若检测到 Kubernetes 环境，攻击者会利用服务账户令牌，在集群所有节点部署特权 Pod，实现全网扩散，将单一主机的感染转化为整个集群的安全危机。攻击者还试图通过恶意机器人刷屏、盗用维护者账号关闭 GitHubissue 等方式掩盖攻击痕迹。潜在风险目前，PyPI 已撤回受感染版本，隔离区也已解除，LiteLLM 维护者正在处理后续事宜，但这场攻击留下的后遗症远未消除，其潜在危害甚至可能在未来数周、数月内逐步显现。首先是持久化后门的清理难题。由于恶意代码通过 systemd 服务和隐藏目录实现持久化，部分用户可能仅卸载 LiteLLM 就认为风险解除，却不知后门仍在后台收集数据、等待指令。这种“隐性感染”一旦被忽视，可能导致敏感数据持续泄露，给攻击者留下后续渗透的入口。其次是凭证泄露的连锁反应。此次被窃取的 50 万个凭证，涵盖企业云服务、数据库、CI/CD 流水线等核心场景，这些凭证可能被攻击者用于进一步入侵其他系统，形成“多米诺骨牌效应”。最后是依赖链的扩散风险。LiteLLM 作为 AI 领域的核心依赖，被 DSPy、MLflow、Open Interpreter 等 2000 多个包引用，许多开发者从未手动安装 [...内容已精简...] 1. 立即排查感染情况：通过以下命令检查版本，若为1.82.7或 1.82.8，需立即卸载： pip show litellm 通过以下命令清除包管理器缓存： rm -rf ~/.cache/uv 或 pip cache purge 2. 全面轮换敏感凭证：假设所有受感染环境的凭证已泄露，立即轮换 SSH 密钥、云服务商凭证、数据库密码、API 密钥等，尤其是加密货币钱包的私钥、助记词，需立即转移资产并更换密钥。 3. 规范依赖管理：长期来看，需锁定依赖版本（建议锁定 LiteLLM 至 1.82.6 及以下安全版本），避免使用未指定版本的依赖；同时加强 CI/CD 流水线安全，排查并更新受污染的安全工具，避免再次被攻击者利用。结语 LiteLLM 供应链攻击不仅揭示了开源生态的脆弱，也提醒我们：在 AI 高速发展的今天，核心依赖库的安全直接关系到整个生态稳定。唯有正视供应链安全，及时排查隐患、完善防护体系，才能避免类似的重大损失，守护自身的数据和资产安全。往期回顾查找币 Agent Security Skill 正式发布，守护 AI Agent 每一道防线查找币 × Bitget AI 安全报告：把钱交给“龙虾”等 AI Agent 真的安全吗？活动回顾 | 查找币 KYT 新品亮相，重构合规基座查找币报告：合规压力下 VASP 的猫捉老鼠困境倒计时 1 天｜查找币(查找币) 链上合规新品发布会即将开启查找币导航查找币科技官网 https://www.查找币.com/ 查找币区官网 https://查找币.io/ 查找币 GitHub https://github.com/查找币 Telegram https://t.me/查找币team Twitter https://twitter.com/@查找币_team Medium https://medium.com/@查找币知识星球 https://t.zsxq.com/Q3zNvvF --- *本文由查找币安全团队整理，来源：安全研究。*

LiteLLM 供应链攻击事件始末

查找币安全研究院

主题延伸阅读