紧急预警 | AI开发者必看LiteLLM遭PyPI供应链投毒

⚠️ 核心预警一条命令

pip install litellm 即可泄露你的全部密钥！

📢 事件速览

2026年3月24日，AI开发者圈子里炸了锅。

月均下载量高达 9700万次 的Python库 LiteLLM，在PyPI官方仓库悄悄上线了两个"毒版本"——1.82.7 和 1.82.8。

这不是普通的Bug，而是一次精心策划的 供应链投毒攻击。

🤖 LiteLLM 是什么？

LiteLLM 是一个开源的 AI API 网关，支持开发者用统一格式调用 OpenAI、Anthropic、Azure 等 100多家 大模型服务商的接口。

GitHub Star 数超过 40k，是 AI/ML 领域的基础设施级工具。

为什么这次攻击格外危险？ 正因为它太基础、太常用，不仅是直接用户，所有以 LiteLLM 为依赖的下游项目，同样难逃波及。

⚔️ 攻击是怎么运作的？

这次攻击的技术手段堪称"教科书级"，分三个阶段执行：

第一阶段：信息收割

恶意脚本在主机上静默扫描，窃取：

• 🔑 SSH 私钥和配置文件
• ☁️ AWS / GCP / Azure 云凭证
• 🐳 Kubernetes 配置
• 📁 Git 凭证
• 🔐 .env 文件（包含所有 API 密钥）
• 📝 Shell 历史记录
• 💰 加密货币钱包
• 🔒 SSL 私钥、CI/CD 机密、数据库密码

第二阶段：横向渗透

利用 Kubernetes 横向移动工具，在集群节点间悄悄扩散，扩大攻击面。

第三阶段：持久驻留

植入伪装成"系统遥测服务"的后门，长期潜伏。

最狡猾的地方： • 1.82.7版本：恶意代码藏在 proxy_server.py，导入即执行 • 1.82.8版本：利用 Python .pth 特性，Python进程启动即自动触发，无需任何交互

🔍 我中招了吗？立即自查

检查当前版本：

pip show litellm

如果版本号是 1.82.7 或 1.82.8，立即执行：

# 卸载并重装安全版本 pip uninstall litellm -y pip install litellm==1.82.6

🛡️ 不只是卸载这么简单

如果你已经安装过恶意版本，卸载只是第一步，更重要的是：

• 立即轮换所有密钥：AWS、GCP、Azure、OpenAI、Anthropic 等所有 API Key
• 检查 SSH 密钥：吊销并重新生成
• 审查云账单：检查是否有异常资源创建或访问记录
• 检查 Kubernetes 集群：排查是否有未知 Pod 或服务
• 扫描持久化后门：检查系统服务、定时任务、.pth 文件

📊 目前状态

✅ 好消息 • 恶意版本已从 PyPI 撤下 • PyPI 隔离措施已解除 • LiteLLM 维护者已公开确认并处置

⚠️ 坏消息 • 恶意版本在被发现前存在约 3小时，期间下载量不可估计 • 已安装的机器如未主动清理，后门可能仍在运行

💡 写在最后

"Simple pip install can steal your keys."—— Andrej Karpathy

供应链攻击正在成为针对开发者最高效的攻击手段之一。我们信任的每一个包，都可能成为入口。

🛡️ 安全建议 • 定期审查项目依赖版本 • 在 CI/CD 中引入依赖安全扫描（如 pip-audit、safety） • 对关键凭证实施最小权限原则，并定期轮换

安全不是一次性的检查，而是持续的习惯。

如有疑问或需要应急响应支持，欢迎联系长亭安全应急响应中心

原文链接：https://mp.weixin.qq.com/s/gVxO9vNYu1gNvHnD9mPFsg