LiteLLM 中的恶意代码:API 密钥窃取器在 Python 启动时激活
LiteLLM 软件包 1.82.7 和 1.82.8 版本遭入侵,危及数千名开发者。这些软件包从 PyPI(每月 9700 万次下载)安装,包含一个窃取器,会窃取 SSH 密钥、AWS、GCP 和 Azure 令牌、Kubernetes 配置、加密钱包以及所有环境变量。它是 100 多个 LLM 提供商的网关,包括 OpenAI 和 Anthropic。已移除受损版本;安全版本为 1.82.6。
攻击机制
恶意代码会自动触发:
- 版本 1.82.8:通过 .pth 文件在每次 Python 启动时运行,无论是否导入该库。任何脚本都会激活窃取器。
- 版本 1.82.7:仅在代码中导入 LiteLLM 时激活。
收集的数据被加密并发送到 models.litellm.cloud——一个伪装成 litellm.ai 的域名。在 1.82.8 中,恶意软件的一个 bug 触发了分叉炸弹:每次 Python 启动都会生成子进程,导致内存耗尽并被检测到。
入侵通过 IDE Cursor 的 MCP 插件中的传递依赖发生。如果没有这个 bug,窃取器本可以隐秘运行。
攻击归因
此次攻击与 TeamPCP 组织有关。2026 年 3 月的一周内:
- Trivy(Aqua Security)入侵。
- Checkmarx 和 KICS。
- LiteLLM(BerriAI)。
模式:维护者账户被黑,发布恶意版本,多阶段窃取器。在 BerriAI 仓库中——提交 "TeamPCP owns BerriAI",问题 #24512 被攻击者关闭。
检查和恢复建议
- 更换所有密钥:SSH、AWS/GCP/Azure 令牌、K8s 配置、加密钱包、环境变量。
- 检查 CI/CD:任何未固定版本的
pip install litellm都可能拉取恶意版本。 - 审计机器:软件包安装的所有地方,即使未使用。
- 监控:至 models.litellm.cloud 的流量。
LiteLLM 管理 LLM API 密钥,因此成为首要目标。
关键要点
- 在 Python 启动时窃取所有环境变量(1.82.8)。
- 每月 9700 万次下载——威胁规模。
- 无需导入库即可自动激活。
- TeamPCP 对开发工具的系列攻击。
- 讽刺:LLM 密钥网关被入侵。
— Editorial Team
暂无评论。