文章总结： 热门Python库LiteLLM遭供应链攻击，黑客组织TeamPCP在PyPI发布恶意版本1.82.7和1.82.8，通过base64编码载荷窃取SSH密钥、云凭证、Kubernetes令牌、加密钱包等敏感数据，日均影响超340万次下载。攻击利用.pth文件实现持久化，具备横向移动能力。建议受影响用户立即轮换所有凭证和密钥，防止连锁入侵。 综合评分： 81 文章分类： 供应链安全,漏洞预警,威胁情报,恶意软件,安全大事件

【安全圈】热门 Python 库 LiteLLM 遭供应链攻击，后门窃取凭证和认证令牌

安全圈

2026年3月26日 19:01 江苏

关键词

LLM攻击

TeamPCP黑客组织持续发动供应链攻击，现已入侵广受欢迎的Python库”LiteLLM”，并声称在攻击期间从数十万台设备窃取数据。

LiteLLM是一款开源Python库，作为统一API网关对接多个大语言模型（LLM）提供商。该包极为热门，日均下载量超340万次，过去一个月下载量超9500万次。

据Endor Labs研究，威胁行为体入侵该项目后，今日向PyPI发布了LiteLLM 1.82.7和1.82.8的恶意版本，部署信息窃取程序收集各类敏感数据。

此次攻击由TeamPCP认领，该组织此前高调入侵了Aqua Security的Trivy漏洞扫描器。那次入侵引发连锁反应，波及Aqua Security Docker镜像、Checkmarx KICS项目，如今又轮到LiteLLM。

该组织还被发现利用恶意脚本攻击Kubernetes集群——当检测到伊朗配置的系统时擦除所有机器，在其他地区设备上则安装新型CanisterWorm后门。

消息人士告诉BleepingComputer，数据外泄数量约50万条，其中大量为重复记录。VX-Underground报告的”感染设备”数量相近。但BleepingComputer未能独立核实这些数字。

LiteLLM供应链攻击详情

Endor Labs报告称，威胁行为体今日推送了两个恶意版本，均在包导入时执行隐藏载荷。

恶意代码以base64编码形式注入’litellm/proxy/proxy_server.py’文件，模块导入时即解码执行。1.82.8版本更进一步，向Python环境安装名为’litellm_init.pth’的.pth文件。由于Python解释器启动时会自动处理所有.pth文件，即使不专门使用LiteLLM，恶意代码也会在Python运行时执行。

执行后，载荷最终部署”TeamPCP Cloud Stealer”变种及持久化脚本。BleepingComputer分析显示，该载荷与Trivy供应链攻击中使用的凭证窃取逻辑几乎相同。

Endor Labs解释：”载荷触发后执行三阶段攻击：收集凭证（SSH密钥、云令牌、Kubernetes密钥、加密钱包和.env文件），尝试通过向每个节点部署特权Pod在Kubernetes集群内横向移动，并安装持久化systemd后门以轮询额外二进制文件。外泄数据经加密后发送至攻击者控制的域名。”

窃取范围

该窃取程序收集广泛的凭证和认证密钥，包括：

• 系统侦察：运行hostname、pwd、whoami、uname -a、ip addr、printenv命令
• SSH密钥和配置文件
• AWS、GCP、Azure云凭证
• Kubernetes服务账户令牌和集群密钥
• .env等环境文件
• 数据库凭证和配置文件
• TLS私钥和CI/CD密钥
• 加密货币钱包数据

云窃取载荷还包含额外的base64编码脚本，伪装为”System Telemetry Service”安装为systemd用户服务，定期连接checkmarx[.]zone远程服务器下载执行额外载荷。

窃取数据打包为名为tpcp.tar.gz的加密档案，发送至攻击者控制的infrastructure models.litellm[.]cloud。

如怀疑已遭入侵，应将受影响系统上的所有凭证视为已暴露并立即轮换。

BleepingComputer多次报道过因企业未及时轮换先前泄露中发现的凭证、密钥和认证令牌而引发的入侵事件。研究人员和威胁行为体均告诉BleepingComputer，虽然轮换密钥困难，但这是防止连锁供应链攻击的最佳手段之一。

END

阅读推荐

【安全圈】上海警方深入推进“涉企网络谣言”打击整治：处置 270 余个违规账号，AI 洗稿编造车企销量下滑等行为被严惩

【安全圈】AI 圈地震：月安装量约 9500 万次的 API 网关 LiteLLM 遭投毒

【安全圈】HackerOne 披露员工数据泄露事件：第三方服务商 Navia 遭入侵

【安全圈】马自达通报安全事件：员工和合作伙伴数据遭泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】热门 Python 库 LiteLLM 遭供应链攻击，后门窃取凭证和认证令牌》