【安全圈】AI 圈地震：月安裝量約 9500 萬次的 API 網(wǎng)關(guān) LiteLLM 遭投毒

關(guān)鍵詞

大模型投毒

科技媒體 cyberkendra 昨日（3 月 24 日）發(fā)布博文，報告稱月均安裝量達(dá) 9500 萬次的 AI 基礎(chǔ)設(shè)施工具 LiteLLM 遭到供應(yīng)鏈投毒。

IT 之家注：LiteLLM 是一個開源的 AI API 網(wǎng)關(guān)，作為支撐數(shù)千家企業(yè) AI 架構(gòu)的關(guān)鍵工具，支持開發(fā)者通過統(tǒng)一的格式調(diào)用 OpenAI、Anthropic、Azure 等 100 多家服務(wù)商的 API 調(diào)用。

該工具于 2026 年 3 月 24 日在 PyPI 官方倉庫發(fā)布了兩個帶有后門的版本（1.82.7 和 1.82.8）。這兩個惡意版本攜帶了復(fù)雜的 " 三階段 " 攻擊負(fù)載：首先通過憑據(jù)收集器竊取數(shù)據(jù)，隨后利用 Kubernetes 橫向移動工具在集群節(jié)點(diǎn)間滲透，最后植入偽裝成 " 系統(tǒng)遙測服務(wù) " 的持久后門。

惡意版本目前已從倉庫撤下，最后一個安全版本確認(rèn)為 1.82.6。

此次投毒在技術(shù)手段上表現(xiàn)出極高的隱蔽性。1.82.7 版本將惡意代碼隱藏在 proxy_server.py 文件中，只要用戶導(dǎo)入該模塊，代碼就會靜默執(zhí)行。

而 1.82.8 版本則進(jìn)一步升級了破壞力，攻擊者利用了 Python 的 .pth 配置文件特性。由于 Python 解釋器在啟動時會自動處理此類文件，這意味著惡意軟件會在任何 Python 調(diào)用時觸發(fā)，用戶無需手動導(dǎo)入任何模塊或進(jìn)行交互，環(huán)境即會被完全感染。

黑客為了模仿 LiteLLM 的官方服務(wù)，通過偽造的域名 models.litellm.cloud 進(jìn)行數(shù)據(jù)回傳，而該域名極具誤導(dǎo)性。

被竊取的數(shù)據(jù)范圍極廣，涵蓋了 SSH 密鑰、AWS 和 GCP 云憑據(jù)、Kubernetes 機(jī)密、加密貨幣錢包以及 CI / CD 令牌等。

LiteLLM 本身就是一個 API 密鑰管理網(wǎng)關(guān)，黑客精準(zhǔn)打擊了這一掌握各類資源 " 鑰匙 " 的核心節(jié)點(diǎn)。此外為規(guī)避流量檢測，所有外傳數(shù)據(jù)在發(fā)送前都經(jīng)過了 AES-256-CBC 和 RSA-4096 的高強(qiáng)度加密。

安全公司 Endor Labs 調(diào)查發(fā)現(xiàn)，此次攻擊由黑客組織 TeamPCP 發(fā)起。該組織本月早些時候曾入侵過 Aqua Security 的 Trivy 掃描器。

由于 LiteLLM 在自身的 CI / CD 流水線中使用了已被入侵的 Trivy 工具，導(dǎo)致 TeamPCP 獲取了 LiteLLM 的發(fā)布權(quán)限，從而成功推送了帶毒版本。

受影響的用戶應(yīng)立即采取行動以挽回?fù)p失。首先，請運(yùn)行命令 pip show litellm | grep Version 確認(rèn)當(dāng)前版本，并檢查 site-packages 目錄下是否存在 litellm_init.pth 文件。

如果確認(rèn)安裝過惡意版本，必須立即強(qiáng)制更換所有云端密鑰、SSH 私鑰、數(shù)據(jù)庫密碼及 Kubernetes 令牌。同時，建議用戶將 LiteLLM 降級至 1.82.6 版本，并安全審計過去 48 小時內(nèi)運(yùn)行過的所有 CI / CD 流水線，確保沒有殘留的持久化后門。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時資訊一手掌握！

好看你就分享 有用就點(diǎn)個贊

支持「安全圈」就點(diǎn)個三連吧！