文章总结： LiteLLMPython包因供应链攻击被植入后门，影响全球数十万开发者。攻击者入侵Trivy窃取密钥后投毒，恶意版本可窃取云密钥、数据库密码等敏感信息。该事件因攻击代码Bug导致内存耗尽而暴露，开发者需立即排查版本并更换凭证。 综合评分： 88 文章分类： 供应链安全,漏洞预警,应急响应,恶意软件,数据泄露

Karpathy紧急发声：日下载340万次的LiteLLM被投毒，黑客一个bug意外暴露危机

看雪学苑 看雪学苑

看雪学苑

2026年3月25日 18:00 上海

最近，一场悄然发生的“供应链”安全事故，可能已经波及了全球数十万开发者。一个名为 LiteLLM 的热门Python工具包被黑客植入后门，恶意版本虽然存活了不到一天就被下架，但在此期间，大量敏感信息可能已被窃取。

LiteLLM是什么？为什么它很重要？

简单来说，LiteLLM就像一个“万能API适配器”。现在AI大模型层出不穷，有OpenAI的、谷歌的、亚马逊的，每个都有自己的接口。LiteLLM的作用就是把这些接口统一起来，让开发者只需要学会一套“语言”，就能调用所有主流大模型。

正因如此，LiteLLM非常受欢迎，每天有超过340万次的下载量，GitHub上有4万多颗星，很多知名的AI工具都把它作为“零部件”来使用。很多开发者可能根本没直接安装它，但不知不觉中，它已经被其他工具“顺手”带进了自己的电脑或服务器里。

发生了什么？一次教科书级的“套娃”攻击

根据安全公司的披露，3月24日，一个名为 TeamPCP 的黑客组织成功入侵了LiteLLM项目，并向Python官方软件库PyPI推送了两个带毒版本：1.82.7 和 1.82.8。

这起事件之所以被称为“教科书级”攻击，是因为它展示了现代软件供应链攻击的典型模式：层层递进，环环相扣。

黑客的作案手法很有层次：

第一步：偷钥匙

黑客首先攻破了一个叫Trivy的漏洞扫描工具（这也是个热门的安全工具）。通过这次攻击，他们窃取到了大量“钥匙”，其中就包括LiteLLM项目上传软件包的密钥。这相当于拿到了LiteLLM“仓库”的门禁卡。

第二步：投毒

拿到门禁卡后，黑客堂而皇之地将恶意代码打包进LiteLLM的1.82.7和1.82.8两个版本中，并上传到了官方仓库。这两个版本在几个小时后就因被发现而被下架，但潜在影响已经产生。

第三步：自动引爆

更“阴险”的是恶意代码的触发方式。它没有要求开发者去运行什么特定指令，而是利用了Python的一个特性。一旦你安装了这个带毒版本，恶意代码就会像“病毒”一样，在你每次启动Python环境时自动运行。这意味着，无论你是否有意使用LiteLLM，只要你打开电脑，它就可能已经在后台偷偷“干活”了。

恶意代码会做什么？堪称“信息收割机”

那么，这个后台运行的恶意代码到底在忙些什么？简单来说，它就是个“信息收割机”，主要干三件事：

• 疯狂收集：它会自动扫描你的电脑，窃取各种敏感信息。包括但不限于：

  -“钥匙串”：访问云服务（如亚马逊AWS、微软Azure）的密钥、SSH密钥（相当于服务器登录密码）、数据库密码。

  -“保险箱”：加密货币钱包文件。

  -“记事本”：包含各类账号密码的配置文件（如.env文件）。

  -“地图”：如果是服务器环境，它还会收集系统信息，了解当前环境的“布局”。

• 横向扩散：如果它发现自己身处Kubernetes（一种流行的容器管理平台）这类服务器集群中，它会尝试利用窃取到的“钥匙”，在集群内的每一台服务器上都部署一个“特权间谍”，进行大规模扩散。

• 远程操控：最后，它会把所有收集到的信息打包加密，发送到黑客控制的服务器（一个伪装成liteLLM的域名）。同时，它还会在你的电脑上安装一个“长期后门”，让黑客在未来可以随时连接你的设备，执行更多恶意指令。

如何发现的？多亏黑客自己写了个“Bug”

这次事件能如此快地被发现，过程颇有些戏剧性。一位开发者在用代码编辑器时，发现自己电脑的内存被迅速耗尽。经过排查，发现是LiteLLM的恶意代码触发了一个无限循环，不断创建新的进程，把电脑撑“爆”了。

这个Bug导致电脑卡顿、死机，才让开发者起了疑心。知名AI科学家Andrej Karpathy在社交媒体上评论道：“如果攻击者没有在写恶意代码时犯这个Bug，这个投毒可能好几天甚至好几周都不会被发现。”

如果你是开发者，或者你的团队使用Python进行开发，请立即检查你的环境：

1.  自查版本：在命令行中输入 pip show litellm，查看显示的版本号。如果版本是 1.82.7 或 1.82.8，说明你可能中招了。1.82.6及之前的版本是安全的。

2. 立即行动：如果不幸安装了这两个版本，最安全的做法是假设所有在你这台电脑上的密码、密钥、凭证都已泄露。请立即：

• 更改密码：登录各大云服务、数据库、GitHub等平台，更换所有相关密码和API密钥。
• 检查痕迹：查看是否存在可疑的进程或系统服务（例如名为“sysmon”的服务）。
• 审查网络：检查是否有数据被发送到 models.litellm[.]cloud 或 checkmarx[.]zone 这两个可疑域名。

这起事件并非孤例，而是近期一系列类似攻击中的最新一环。攻击者TeamPCP似乎正在有组织地对各类安全工具和开源项目进行渗透，其目的和野心令人担忧。正如安全专家所说：“这就像一场‘雪崩’，一次小小的入侵，通过环环相扣的软件供应链，最终引发了整个生态系统的巨大危机。”

对于普通人而言，这起事件再次提醒我们：在数字化时代，一个不起眼的软件包背后，可能连接着一条极其复杂的信任链条。而链条上任何一个环节的脆弱，都可能引发意想不到的连锁反应。

本文为资讯编译与整理，内容综合自以下公开报道：

• BleepingComputer：《Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens》
• The Hacker News：《TeamPCP Backdoors LiteLLM Versions 1.82.7–1.82.8 via Trivy CI/CD Compromise》

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《Karpathy紧急发声：日下载340万次的LiteLLM被投毒，黑客一个bug意外暴露危机》