供应链攻击波及核心AI基础设施：恶意代码潜入LiteLLM

一场针对开源AI开发工具的复杂供应链攻击正在引发行业震动。黑客组织TeamPCP在广泛使用的LiteLLM库中植入了隐蔽的恶意程序，可自动收集用户私钥、云服务凭证及加密钱包数据。

作为连接超百个大模型服务商的关键中间件，LiteLLM在PyPI平台每月下载量接近9700万次，已成为众多AI应用的底层依赖。此次事件正值加密市场情绪低迷，恐慌指数跌至13的“极度恐慌”区间，进一步加剧了风险暴露。

攻击路径解析：从安全扫描工具到官方仓库的越权上传

攻击者并未直接攻破LiteLLM代码库，而是利用其CI/CD流程中的一个受漏洞影响的Trivy GitHub Action组件，窃取了用于发布PyPI包的凭证。凭借这些权限，他们在2026年3月24日世界标准时间10:39至16:00之间，将受污染的1.82.7和1.82.8版本上传至官方仓库。

讽刺的是，本应用于保障供应链安全的自动化扫描工具，反而成为入侵入口。这一手法与近年来导致数十亿美元损失的高级持续性威胁（APT）模式高度一致。

该攻击并非孤立事件，而是多阶段渗透活动的第三阶段：先突破Trivy，继而影响44个以上npm包，再入侵Checkmarx KICS，最终蔓延至LiteLLM，最新目标已指向Telnyx。这表明攻击链条仍在持续演进。

恶意行为机制：无感执行与全面数据外泄

恶意代码通过在Python安装目录创建名为litellm_init.pth的初始化文件实现持久化。该文件在每次系统启动时自动运行，不限于导入LiteLLM，意味着任何运行Python的进程都可能触发数据泄露。

被窃取的信息范围极广，包括但不限于：SSH密钥、云平台凭据、Kubernetes令牌、Git配置、含API密钥的环境变量、Shell历史记录、加密钱包文件、SSL私钥、CI/CD密钥及数据库密码。

对于持有数字资产的用户而言，最致命的风险在于钱包密钥的外泄。若开发者在受感染设备上存储热钱包私钥、助记词或密钥库文件，相关资产将面临永久性丢失风险——与交易所账户不同，私钥一旦泄露无法重置。

所有外泄数据均经加密处理后通过POST请求发送至伪装成合法基础设施的域名，有效规避传统网络监控手段，使异常流量难以识别。

响应与防御建议：立即行动保护资产安全

LiteLLM团队已联合安全专家开展深度取证，并暂停所有新版本发布以进行供应链审查。使用官方Docker镜像的用户未受影响。

若您在受影响时间段内通过pip安装过LiteLLM，务必立即执行以下操作：

• 检查版本：运行版本查询命令，确认是否为1.82.7或1.82.8。
• 降级修复：回滚至最新安全版本，恢复系统可信状态。
• 清除恶意文件：在Python安装路径中搜索litellm_init.pth，发现即刻删除，并将整机视为已失陷。
• 转移资产：如曾在此设备保存钱包文件、私钥或助记词，请立即将全部资产迁移至全新洁净设备生成的新钱包。
• 更换凭证：更新所有云服务密钥、SSH密钥、数据库密码、API令牌及环境变量中的敏感信息。
• 审计部署流程：若该机器具备部署权限，检查最近构建与发布是否存在异常变更。

硬件钱包虽能提供有效防护——因其私钥始终不离开设备且交易签名本地完成——但同一主机上的热钱包仍可能已被窃取。

随着AI与加密基础设施深度融合，依赖链的脆弱性日益凸显。开发者应主动审计依赖关系树，锁定关键软件包版本，避免自动更新。唯有构建纵深防御体系，方能在不断演变的攻击环境中守护数字资产安全。