返回首页

LiteLLM 中的窃取器:Python 启动时密钥被盗

LiteLLM 1.82.7 和 1.82.8 包中发现凭据窃取器,Python 启动时激活。TeamPCP 攻击影响数千开发者。需要替换所有密钥并进行 CI/CD 审计。

LiteLLM 遭受攻击:窃取器窃取 LLM 密钥
Advertisement 728x90

LiteLLM 中的恶意代码:API 密钥窃取器在 Python 启动时激活

LiteLLM 软件包 1.82.7 和 1.82.8 版本遭入侵,危及数千名开发者。这些软件包从 PyPI(每月 9700 万次下载)安装,包含一个窃取器,会窃取 SSH 密钥、AWS、GCP 和 Azure 令牌、Kubernetes 配置、加密钱包以及所有环境变量。它是 100 多个 LLM 提供商的网关,包括 OpenAI 和 Anthropic。已移除受损版本;安全版本为 1.82.6。

攻击机制

恶意代码会自动触发:

  • 版本 1.82.8:通过 .pth 文件在每次 Python 启动时运行,无论是否导入该库。任何脚本都会激活窃取器。
  • 版本 1.82.7:仅在代码中导入 LiteLLM 时激活。

收集的数据被加密并发送到 models.litellm.cloud——一个伪装成 litellm.ai 的域名。在 1.82.8 中,恶意软件的一个 bug 触发了分叉炸弹:每次 Python 启动都会生成子进程,导致内存耗尽并被检测到。

Google AdInline article slot

入侵通过 IDE Cursor 的 MCP 插件中的传递依赖发生。如果没有这个 bug,窃取器本可以隐秘运行。

攻击归因

此次攻击与 TeamPCP 组织有关。2026 年 3 月的一周内:

  • Trivy(Aqua Security)入侵。
  • Checkmarx 和 KICS。
  • LiteLLM(BerriAI)。

模式:维护者账户被黑,发布恶意版本,多阶段窃取器。在 BerriAI 仓库中——提交 "TeamPCP owns BerriAI",问题 #24512 被攻击者关闭。

Google AdInline article slot

检查和恢复建议

  • 更换所有密钥:SSH、AWS/GCP/Azure 令牌、K8s 配置、加密钱包、环境变量。
  • 检查 CI/CD:任何未固定版本的 pip install litellm 都可能拉取恶意版本。
  • 审计机器:软件包安装的所有地方,即使未使用。
  • 监控:至 models.litellm.cloud 的流量。

LiteLLM 管理 LLM API 密钥,因此成为首要目标。

关键要点

  • 在 Python 启动时窃取所有环境变量(1.82.8)。
  • 每月 9700 万次下载——威胁规模。
  • 无需导入库即可自动激活。
  • TeamPCP 对开发工具的系列攻击。
  • 讽刺:LLM 密钥网关被入侵。

— Editorial Team

Advertisement 728x90

继续阅读