你装的Python包正偷走一切密钥!LiteLLM供应链投毒事件全解析
一条简单的pip install litellm命令,可能正在悄悄偷走你的一切密钥。这不是危言耸听,而是真实发生在2026年3月24日的供应链投毒事件。LiteLLM是一个热门的Python AI API网关库,GitHub星标超过4万,月下载量接近1亿次。它支持开发者用统一格式调用OpenAI、Anthropic、Azure等100多家大模型服务商的接口,是AI开发领域的基础设施级工具。然而,黑客组织TeamPCP通过入侵安全扫描工具Trivy,获取了LiteLLM的PyPI发布令牌,在3月24日悄悄上传了两个恶意版本——1.82.7和1.82.8。这两个版本在PyPI上存活了约3小时,期间无数开发者毫不知情地安装了带毒的包。这次攻击的技术手段堪称教科书级别。1.82.7版本将恶意代码藏在proxy_server.py中,只要导入模块就会触发。而更危险的1.82.8版本则利用了Python的.pth特性,只要Python解释器启动就会自动执行恶意代码,甚至不需要导入任何模块。三阶段攻击链
第一阶段:信息收割恶意脚本静默扫描主机,窃取SSH私钥、AWS/GCP/Azure云凭证、Kubernetes配置、Git凭证、.env文件(包含所有API密钥)、Shell历史记录、加密货币钱包、SSL私钥、CI/CD机密以及数据库密码。第二阶段:加密外传收集到的数据使用AES-256-CBC和RSA-4096混合加密,打包后POST到攻击者控制的域名models.litellm.cloud。这个域名极具误导性,看起来像是LiteLLM的官方域名。第三阶段:持久驻留在本地系统中植入伪装成系统遥测服务的后门,长期潜伏。在Kubernetes环境中,恶意代码会创建特权Pod,横向扩散到整个集群,实现完全远程控制。如何自查与应对
立即自查:运行pip show litellm检查当前版本。如果是1.82.7或1.82.8,立即卸载并安装1.82.6或更早的安全版本。但这还远远不够。如果你已经安装过恶意版本,必须立即轮换所有密钥:AWS、GCP、Azure、OpenAI、Anthropic等所有API Key,吊销并重新生成SSH密钥,检查Kubernetes集群中的未知Pod或服务,扫描持久化后门。供应链攻击的警示
这次事件最可怕的地方在于,攻击者绕过了GitHub Release的正常发布流程,直接向PyPI推送了带毒版本。官方GitHub仓库本身仍然是干净的,仅审计源码无法发现完整的恶意载荷。这提醒我们,在AI时代,供应链安全已经成为最致命的威胁之一。Andrej Karpathy警告说:简单的pip install就可以偷走你的全部密钥。当我们在构建复杂的依赖树时,每一个环节都可能成为攻击入口。定期审查依赖版本,在CI/CD中引入安全扫描,对关键凭证实施最小权限原则并定期轮换,这些不再是可选项,而是必须执行的安全实践。安全不是一次性的检查,而是持续的习惯。在AI开发的黄金时代,我们不仅要关注模型的强大能力,更要警惕供应链背后隐藏的危机。
10个月宝宝每天需要喝多少奶粉?
