文章总结: 2026年3月AI基础设施LiteLLM遭供应链投毒,恶意版本1.82.7与1.82.8窃取API密钥与云凭证。攻击组织TeamPCP利用Python路径机制植入后门,波及大量开发者。用户需立即降级版本、轮换所有凭证并排查后门。文章详述攻击链条与应急方案,极具实战价值。 综合评分: 89 文章分类: 供应链安全,应急响应,漏洞预警,AI安全,恶意软件
AI圈地震:月安装量约9500万次的API网关LiteLLM遭投毒,波及OpenAI/Anthropic等用户
原创
黑客茶话会 黑客茶话会
黑客茶话会
2026年3月26日 09:56 山东
AI圈地震:月安装量约9500万次的API网关LiteLLM遭投毒,波及OpenAI/Anthropic等用户
2026-03-26 | 来源:黑客茶话会
⚠️ 如果你使用过LiteLLM 1.82.7或1.82.8
你的API密钥、服务器权限可能已被攻击者窃取!请立即按照本文步骤应急响应!
💣 事件概述:AI圈核弹级安全事件
2026年3月24日,科技媒体CyberKendra发布紧急报告:月均安装量达9500万次的AI基础设施神器LiteLLM,在PyPI上发布的1.82.7和1.82.8两个版本被植入恶意后门代码。恶意版本于当日8:30 UTC发布,11:25 UTC即被PyPI隔离,但曝光窗口期已造成巨大影响。
| | | | | | — | — | — | — | | 9500万 月均安装量 | 2个 恶意版本 | 3月24日 攻击时间 | TeamPCP 攻击组织 |
🔴 为什么这次事件特别严重?
LiteLLM是AI应用开发的核心网关,负责管理OpenAI、Anthropic、Azure等100+模型服务商的API密钥。LiteLLM还是DSPy、CrewAI、MLflow等主流AI框架的依赖项,一旦被攻破,相当于攻击者拿到了你所有AI服务的钥匙。
🕵️ 攻击手法揭秘:三阶段精密攻击
此次攻击是TeamPCP威胁组织协调供应链活动的第三阶段:
📅 TeamPCP三阶段攻击时间线
3月19日 — 入侵Aqua Security的Trivy扫描器
3月21日 — 入侵Checkmarx的AST GitHub Actions
3月24日 — 利用从Trivy攻击中获取的凭据发布恶意LiteLLM版本
阶段一:恶意包发布与初始执行
攻击者直接向PyPI仓库上传了恶意版本:
版本1.82.7:恶意代码隐藏在proxy_server.py,执行litellm --proxy或导入模块时触发,释放Base64编码的Payload文件p.py
版本1.82.8:新增litellm_init.pth文件(约34,628字节),利用Python的.pth机制,在任意Python进程启动时自动执行,无需任何调用
阶段二:数据收集与加密外泄
恶意代码系统性地收集以下敏感数据:
| | | | — | — | | 📁 SSH密钥和配置(~/.ssh/) | ☁️ AWS、GCP、Azure云凭证 | | 🐳 Kubernetes配置(~/.kube/config) | 🐳 Docker凭证 | | 📝 Git配置和凭据助手 | 💻 Shell历史记录 | | 📄 .env文件 | 🔗 云元数据端点 | | 🔐 SSL/TLS私钥 | 💰 加密货币钱包 | | 🔑 所有环境变量(包括API密钥) | |
数据外泄采用分层加密方案:
① 压缩为tpcp.tar.gz
② 生成随机AES-256会话密钥
③ 使用AES-256-CBC和PBKDF2密钥派生进行加密
④ 会话密钥使用硬编码的4096位RSA公钥加密
外泄域名(注意区分版本):
1.82.7外泄至:checkmarx[.]zone
1.82.8外泄至:models[.]litellm[.]cloud(精心设计,类似官方域名)
阶段三:持久化与横向移动
如果检测到Kubernetes令牌,恶意代码会:
▸ 通过Kubernetes API读取集群密钥
▸ 尝试创建特权Pod
▸ 在~/.config/sysmon/sysmon.py安装持久化后门
⚠️ 后门伪装成”系统遥测服务”,即使卸载LiteLLM也无济于事
💀 被投毒后果:你的服务器正在被控制
1️⃣ API密钥全部泄露
恶意代码会窃取你配置在LiteLLM中的所有API密钥:
🔑 OpenAI API Key
🔑 Anthropic Claude API Key
🔑 Azure OpenAI 密钥
🔑 Google Vertex AI 凭证
🔑 各类第三方模型服务商Key
2️⃣ 云服务器权限被接管
攻击者通过收集的云服务凭证,可以:
☁️ AWS/GCP/Azure 访问密钥 → 完全控制你的云账户
🐳 Kubernetes配置 → 接管整个K8s集群
🖥️ SSH私钥 → 登录任意服务器
3️⃣ 横向移动渗透内网
攻击者利用K8s令牌在集群节点间自由穿梭,创建特权Pod,你的整个内网都在暴露。
4️⃣ 持久化后门植入
攻击者在系统中植入持久化后门,即使卸载LiteLLM、重新格式化服务器,攻击者仍可能保持访问权限。
5️⃣ 加密货币钱包被盗
恶意代码还会扫描并窃取加密货币钱包文件,数字资产同样不保。
6️⃣ 传递性影响
LiteLLM是DSPy、CrewAI、MLflow等主流框架的依赖项,超过600个GitHub项目存在未固定版本的LiteLLM依赖,使用这些框架的开发者同样受影响。
🔍 自查:你的版本受影响吗?
检查当前安装的版本
pip show litellm | grep Version
或使用
python -m pip freeze | grep -i ‘^litellm==’
检查是否存在恶意.pth文件
find /path/to/site-packages -name ‘litellm_init.pth’
Windows用户检查
dir %APPDATA%\Python\Python*\site-packages\litellm_init.pth
受影响版本:1.82.7、1.82.8
安全版本:1.82.6
🛡️ 紧急应急响应:立即执行
第一步:确认影响范围(5分钟内)
检查所有环境是否安装受影响版本:开发机、CI/CD、容器、Serverless函数
第二步:立即降级版本
pip install litellm==1.82.6
第三步:轮换所有凭证(最重要!)
默认所有凭证已泄露,强制更换以下内容
第四步:重建环境
销毁受污染的虚拟环境、容器镜像、CI Runner缓存
第五步:安全审计
检查过去48小时内所有CI/CD流水线,确认无残留后门
⚠️ 必须立即轮换的凭证清单
✓ 云平台访问密钥(AWS/GCP/Azure)
✓ OpenAI、Anthropic等所有模型API密钥
✓ GitHub/GitLab CI Token
✓ 数据库连接密码
✓ Kubernetes Secrets
✓ SSH私钥
✓ TLS/SSL证书私钥
✓ 加密货币钱包文件
📊 IOC指标(供参考)
恶意版本:litellm==1.82.7、litellm==1.82.8
1.82.7外泄域名:checkmarx[.]zone
1.82.8外泄域名:models[.]litellm[.]cloud
持久化文件:litellm_init.pth
Payload文件:p.py(1.82.7版本)
后门路径:~/.config/sysmon/sysmon.py
🔒 长期防护建议
- 锁定依赖哈希
• 启用pip的哈希校验功能
• 不止锁定版本,还验证包完整性
- 新版本隔离测试
• 对新版依赖先在沙箱环境中测试
• 再部署到生产CI
- 最小权限原则
• CI/CD凭证使用短期、最小权限Token
• 不要给LiteLLM过高的系统权限
- 意识升级
• 将pip install视为高风险操作,而非无害初始化
• 使用虚拟环境隔离项目依赖
• 定期扫描项目依赖漏洞
📚 参考来源
🔗 CyberKendra报告 (2026-03-24)
🔗 Wiz安全分析 (2026-03-25)
🔗 DreamFactory技术分析 (2026-03-24)
🔗 eimoon安全分析 (2026-03-25)
🔗 LiteLLM GitHub官方Issue
© 2026 黑客茶话会 | 关注AI安全,守护数字未来
⚠️ 本文旨在提高安全意识,请立即检查并更新你的LiteLLM版本
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑客茶话会 黑客茶话会 黑客茶话会《AI圈地震:月安装量约9500万次的API网关LiteLLM遭投毒,波及OpenAI/Anthropic等用户》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论