返回首页

LiteLLM 黑客攻击:针对 PyPI 和 Mercor 泄露

黑客组织 TeamPCP 通过 Trivy 入侵 LiteLLM,在 PyPI 上发布恶意版本。该攻击导致机密和 Mercor 4 TB 数据泄露。本文剖析机制、后果以及开发者的防护措施。

黑客入侵 LiteLLM:9700 万次安装面临风险
Advertisement 728x90

LiteLLM 供应链攻击:黑客如何攻破 AI 初创公司 Mercor

专注于为 AI 模型训练招聘人才的 AI 平台 Mercor 成为攻击受害者,这次攻击是通过 Python 库 LiteLLM 被入侵实现的。该事件波及一家估值 100 亿美元、每天向承包商支付超过 200 万美元的平台。黑客入侵了 Trivy,获得了对 PyPI 的访问权限,并发布了恶意版本 1.82.7 和 1.82.8,该库被用作 LLM API 的代理。

通过 PyPI 的攻击机制

攻击于 3 月 24 日启动,当时 TeamPCP 组织入侵了 Trivy 漏洞扫描器,提取了发布令牌,并上传了感染的 LiteLLM 软件包。该库每月下载量达 9700 万次,作为连接 OpenAI、Anthropic 等模型的统一接口。

恶意代码在安装时即刻激活,无需导入 litellm。它提取了以下内容:

Google AdInline article slot
  • SSH 密钥;
  • 云凭证;
  • Kubernetes 机密;
  • 提供商 API 密钥。

此次入侵因恶意软件故障而被发现:一个 .pth 文件引发了递归进程分叉,导致分叉炸弹,使 FutureSearch 的一位工程师的系统崩溃,从而暴露了事件。

对 Mercor 和生态系统的后果

Lapsus$ 组织声称通过 Tailscale VPN 窃取了 Mercor 4 TB 数据。数据转储包括:

  • 939 GB 源代码;
  • 211 GB 用户数据库;
  • 3 TB 视频面试和验证文档。

样本分析显示数据来自 Slack、工单系统以及 AI 代理日志。Mercor 确认已控制事件,但拒绝评论客户数据泄露。LiteLLM 已移除这些版本,暂停发布,并将合规提供商切换至 Vanta。

Google AdInline article slot

这是 TeamPCP 活动的一部分:Axios 此前在 npm 中被入侵,影响了超过 60 个软件包,横跨多个注册表。

Python 生态系统中的供应链漏洞

LiteLLM 作为 LLM API 的代理,对 AI 应用至关重要。此次攻击突显了以下风险:

  • 依赖未经验证的开源软件包;
  • 安装时缺乏沙箱隔离;
  • 海量分发规模(每月 9700 万次安装)。

建议开发者:

Google AdInline article slot
  • 安装前验证软件包哈希;
  • 使用固定版本的虚拟环境;
  • 使用 Dependabot 或 Snyk 等工具监控依赖;
  • 使用 SLSA 框架审计供应链。

关键要点

  • 威胁规模: 一个被入侵的依赖项影响了数千个使用 LiteLLM 作为 LLM 网关的 AI 项目。
  • 技术细节: 恶意软件在 pip install 期间窃取机密,无需运行时导入,通过 .pth 机制实现。
  • 响应措施: PyPI 移除了软件包,LiteLLM 正在进行审计;Mercor 聘请了取证专家。
  • 更广泛背景: TeamPCP 活动影响了超过 60 个软件包,包括 npm 中的。

此次事件强调了 AI 基础设施供应链安全需要采用零信任方法。

— Editorial Team

Advertisement 728x90

继续阅读