当前位置：首页 > article >正文

热门 PyPI 包 LiteLLM 遭投毒，窃取凭据和认证令牌

article 2026/3/26 18:42:39

聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。黑客团伙TeamPCP 仍在持续发动供应链攻击攻陷了位于 PyPI 平台上的热门 Python 包 “LiteLLM”声称在攻击中已窃取数十万台设备的数据。LiteLLM 是一款开源 Python 库充当通过一个 API 就能调用多个大语言模型提供商的网关。该包非常热门每日下载量超过340万次过去一个月的下载量超过9500万次。Endor Labs 表示威胁人员攻陷了该项目并将恶意版本 LiteLLM 1.82.7和1.82.8发布到 PyPI 平台部署了一款信息窃取工具收割大量敏感数据。黑客团伙 TeamPCP 声称发动了此次攻击。该团伙被指是最近发生的多起高级别攻击的幕后黑手如 Aqua Security 公司的 Trivy 漏洞扫描器数据遭泄露并波及多个项目如 Aqua Security Docker 镜像、Checkmarx KICS 项目、LiteLLM等。该团伙被指通过恶意脚本攻击 Kubernetes 集群如检测到面向伊朗配置的系统则会擦除所有机器反之则会在位于其它地区的设备上安装一个新的 CanisterWorm 后门。消息人士表示被盗设备约为50万台其中许多是重复的。VX-Underground 也认为“受感染设备”数据量相近。不过目前尚无法核实数据的真实性。LiteLLM 供应链攻击Endor Labs 报道称威胁人员今天推送了两个 LiteLLM的恶意版本每个都包含一个隐藏的 payload一旦导入该包就会执行。恶意代码被注入 litellm/proxy/proxy_server.py 作为base64位编码的 payload而当该模块导入时就会被解码并执行。LiteLLM 1.82.8 版本引入一个更具攻击性的特性即在 Python 环境下安装一个名为 “litellm_init.pth”的 “.pth” 文件。由于 Python 在启动时会自动执行所有的 “.pth” 文件因此不管 Python 何时运行该恶意代码都会被执行即使在未使用 LiteLLM 的情况下也不例外。一旦执行 payload它最终会部署 “TeamPCP Cloud Stealer” 的一个变体以及一个持久性脚本。分析发现该 payload 包含与 Trivy 供应链攻击中使用的几乎一样的凭据窃取逻辑。研究人员提到“一旦被触发payload 就会执行三阶段攻击窃取凭据SSH密钥、云令牌、Kubernetes 机密、密币钱包和 .env 文件、尝试通过将特权 pod 部署到每个节点的方式在 Kubernetes 集群中横向移动以及安装一个持续运行的 systemd 后门用于轮询获取额外的二进制文件。这些数据被提取后加密并发送到受攻击者控制的域名。”该窃取器收割了大量凭据和认证机密包括通过运行 hostname、pwd、whoami、uname –a、ip add和printenv 命令的系统侦查。SSH密钥和配置文件。AWS、GCP和Azure的云凭据。Kuernetes 服务账号令牌和集群密钥。环境文件如 “.env” 变体等。数据库凭据和配置文件。TLS私钥和CI/CD密钥。密币钱包数据。该云窃取器 payload 还包括一个额外的 base64编码脚本该脚本伪装成“系统遥测服务”的systemd 用户服务定期连接位于 checkmarx[.]zone 的一个远程服务器来下载并执行更多的 payload。被导数据绑定到名为“tpcp.tar.gz”的加密文档并发送给受攻击者控制的基础设施 models.litellm[.]cloud供后续访问。立即更换被暴露凭据目前LiteLLM 的两个恶意版本均已从 PyPI 删除目前最新的干净版本是 1.82.6。强烈建议使用 LiteLLM 的组织机构立即检查是否安装了 1.82.7 或 1.82.8 版本。立即更换在受影响设备上使用或在其代码中发现的所有密钥、令牌和凭证。查找持久化痕迹如 ~/.config/sysmon/sysmon.py 及相关 systemd 服务。检查系统中是否存在可疑文件如 /tmp/pglog 和 /tmp/.pg_state。审查 Kubernetes 集群中 kube-system 命名空间下是否存在未授权的 Pod。监控发往已知攻击者域名的出站流量。如疑似攻陷情况应认为受影响系统上的所有凭据都应被认为是被暴露的且应立即更换。实际有很多数据泄露事件都源自企业没有更换凭据、密钥以及认证令牌。研究人员和威胁人员均曾表示虽然更换密钥的操作较为繁琐但却是阻止供应链攻击的最佳方式之一。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响黑客发动史上规模最大的 NPM 供应链攻击影响全球10%的云环境十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响AI供应链易遭“模型命名空间复用”攻击Frostbyte10威胁全球供应链的10个严重漏洞PyPI拦截1800个过期域名邮件防御供应链攻击PyPI恶意包利用依赖引入恶意行为发动软件供应链攻击黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员700多个恶意误植域名库盯上RubyGems 仓库NPM “意外” 删除 Stylus 合法包全球流水线和构建被迫中断固件开发和更新缺陷导致漏洞多年难修供应链安全深受其害NPM仓库被植入67个恶意包传播恶意软件在线阅读版《2025中国软件供应链安全分析报告》全文NPM软件供应链攻击传播恶意软件隐秘的 npm 供应链攻击误植域名导致RCE和数据破坏NPM恶意包利用Unicode 隐写术躲避检测Aikido在npm热门包 rand-user-agent 中发现恶意代码密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥触发供应链攻击原文链接https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或赞” 吧~

热门 PyPI 包 LiteLLM 遭投毒，窃取凭据和认证令牌

相关文章：

热门 PyPI 包 LiteLLM 遭投毒，窃取凭据和认证令牌

神经高利贷：预支未来技能导致认知崩溃

脑皮层房地产：公司在我的神经突触建数据中心

情感GDP报告：测试员负面情绪成经济指标的行业变革

【OpenClaw 全面解析：从零到精通】第 025 篇：OpenClaw v2026.3.22+v2026.3.23 安全与架构全面升级：从版本迭代看 AI Agent 工程化实践

嵌入式开发调试与问题诊断实战指南

别再傻傻线性扫描了！用Python+Scikit-learn手把手实现IVFFlat图像相似度搜索

网络协议与文件系统，小车亮灯实验

中国空间智能，梦想照进现实

AI时代程序员创业指南：从超级个体到一人企业

AS3935闪电传感器Arduino驱动库深度解析与工业级应用

会议纪要助手：OpenClaw+GLM-4.7-Flash实时转录与摘要

pyNastran：破解工程仿真困境的Python技术革新者

汽车智能制造时代，哪些服务商助力智慧供应链？

YOLOv8改进：MixUp with Consistency——基于混合增强与一致性正则化的鲁棒性目标检测算法

告别用人“开盲盒”｜江湖背调定义全生命周期风控范式

国际大牌入门之选

Steam致命错误failed to load steamui.dll？小白必看的6种实用修复方案

避坑指南：三自由度机械臂DH参数建模与逆解求解的那些‘坑’（从理论到Matlab/Python验证）

OpenClaw飞书机器人配置指南：百川2-13B-4bits量化模型对话触发

三层交换机vlan间互通配置

告别Linux卡顿！用RK3562的M0核跑RT-Thread，实现实时控制与Linux并行运行

Linux内核观测与跟踪的利器BPF环境测试

大三大学生挖洞收入十万背后：网安圈的“天才少年”，普通人能复制吗？

MySQL 8.0迁移后表名报错？别急着改my.cnf，先搞懂lower_case_table_names这个坑

Claude Code 速查表

BilibiliDown：B站音视频资源管理的全场景解决方案

程序员视角：五笔输入法98版为何更适合代码编写？

browser-use爆火：AI Agent接管浏览器，测试自动化正在被重构

告别手动Dockerfile！io.fabric8插件如何用Maven配置自动生成镜像（附Spring Boot实战）