一场针对主流AI开发工具LiteLLM的供应链入侵事件引发行业警觉。攻击者在未经许可的情况下向其官方发布渠道注入恶意代码,可自动捕获用户设备中的私钥、云服务凭据及各类敏感信息,对依赖该工具构建的AI应用构成严重安全隐患。
追踪显示,名为TeamPCP的威胁组织利用一个存在缺陷的Trivy GitHub Action组件,成功窃取了LiteLLM项目在PyPI上的发布密钥。在2026年3月24日世界标准时间10:39至16:00之间,他们绕过正规构建流程,将污染版本直接上传至公共仓库。这两个版本现已从分发平台移除。
讽刺的是,本应用于检测漏洞的自动化安全工具,反而成为攻击入口。这一事件再次凸显当前数字基础设施中“信任链条”脆弱性,与近年造成巨额损失的多起供应链攻击模式高度一致。
此次行动并非孤立事件,而是持续性攻击活动的第三阶段。此前已波及超过44个npm包,随后扩散至Checkmarx KICS,继而渗透到LiteLLM,最新目标指向Telnyx系统,表明攻击仍在演进之中。
恶意代码以名为litellm_init.pth的文件形式嵌入用户Python环境。该文件在每次系统启动时自动运行,不局限于调用LiteLLM时,使所有运行中的Python进程均可能触发数据窃取行为。
其采集范围覆盖广泛,包括但不限于SSH密钥、云平台访问令牌、Kubernetes认证凭据、Git配置、含API密钥的环境变量、Shell操作历史、加密钱包文件、SSL私钥、CI/CD流水线密钥以及数据库密码。
对于持有数字资产的用户而言,钱包文件泄露是最大威胁。若开发者在受感染主机上存储热钱包私钥、助记词或密钥库,这些信息极有可能已被窃取。不同于交易所账户失窃可重置,私钥一旦外泄便无法挽回,相关资产处于永久性暴露状态。
所有外传数据在发送前均经过高强度加密处理,通过伪装成合法请求的方式隐藏于正常流量中。攻击者使用的域名刻意模仿官方基础设施,极大增加了网络监测识别难度。
业内专家将其定性为“软件层面的恐怖袭击”,强调仅凭一条简单安装指令即可导致核心密钥与资产信息被无声盗取。
由于许多项目将LiteLLM作为间接依赖项,即使未主动安装,也可能被动引入受污染版本。这种依赖传递机制显著放大了影响范围。当攻击深入开发工具链底层时,传统防护手段难以有效应对不断演变的欺诈策略。
有匿名报告称,最初发现异常源于某开发者集成环境因内存资源耗尽而崩溃,疑似恶意脚本执行所致,但尚未获官方证实。
LiteLLM团队已联合安全机构展开全面调查,并暂停所有新版本发布,以开展供应链深度审查。使用官方Docker镜像的用户不受影响。
如在指定时间段内通过pip安装过LiteLLM,建议立即执行以下操作:
确认当前版本是否属于受影响范围;若为1.82.7或1.82.8,系统已遭入侵。
迅速回滚至最新安全版本,恢复系统可信状态。
在本地Python目录中搜索litellm_init.pth文件,若存在,立即删除并视整机为完全失陷。
若有任何钱包文件、私钥或助记词存放于该设备,必须立即将全部资产迁移至全新、洁净环境中创建的钱包。
更换所有关联凭证,涵盖云服务密钥、SSH凭据、数据库密码、环境变量中的密钥及部署令牌。
检查近期构建与部署记录,排查是否存在未经授权的变更行为。
硬件钱包虽能有效防止私钥外泄,因其签名过程不暴露私钥,但若同一设备上存在热钱包,其密钥仍可能已被盗。
随着人工智能与加密金融融合加深,供应链安全性已成为关键防线。鉴于攻击活动持续进行,开发者应定期审计依赖树,锁定关键包版本,避免自动更新。唯有整个生态系统协同强化信任链,方能抵御日益复杂的跨领域威胁。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.
