2026-03-30 00:26:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： LiteLLM在PyPI遭遇供应链投毒，攻击者攻陷Trivy窃取凭证并发布含后门的恶意版本。该版本利用.pth文件静默窃取密钥并尝试横向移动。文章复盘了三阶段攻击链，提供了详细的版本回滚、后门清除及凭证轮换应急指南，并列出IOC指标。建议企业启用OIDC认证以加强供应链安全。 综合评分： 86 文章分类： 供应链安全,应急响应,恶意软件,AI安全,漏洞预警

cover_image

警惕！LiteLLM 遭供应链“连环套”投毒：从 Trivy 沦陷到 4.8 亿次下载量的威胁

原创

老兵老兵

网安守护

2026年3月25日 20:12 北京

2026年3月24日，AI 圈发生了一起严重的供应链安全事故。作为连接百种大模型的通用网关，LiteLLM 在 PyPI 官方仓库遭遇投毒。这不仅仅是一次简单的恶意包上传，而是一场精心策划的“工具链渗透”——攻击者通过攻破安全工具 Trivy 进而窃取了 LiteLLM 的发布凭证。

截至目前，PyPI 已紧急下架相关版本，建议所有用户立即回滚。

一、攻击复盘：一场蓄谋已久的“套娃”行动

这场攻击并非偶然，其链路清晰展示了黑客组织 TeamPCP 的渗透逻辑：

1. 起点（2月28日）： 攻击者首先攻陷了知名扫描工具 Trivy。
2. 跳板（3月中旬）： 开发者在 CI/CD 流水线中使用带毒的 Trivy 时，不慎泄露了 LiteLLM 的 PyPI 发布令牌（Token）。
3. 收网（3月24日）： 攻击者利用令牌发布了恶意版本 v1.82.7 和 v1.82.8。

影响规模： LiteLLM 月活下载近 1 亿次，受影响的下游依赖包超过 2100 个，波及范围极广。

二、恶意行为解析：隐蔽性极高

本次投毒版本中隐藏了三阶段（Stage）的 payload，手段极其阴毒：

• v1.82.7（显式触发）： 只要在代码中 import litellm.proxy.proxy_server，恶意 Base64 脚本即刻执行。
• v1.82.8（全量感染）： 利用 .pth 文件特性，无需显式调用，只要 Python 环境启动，恶意脚本便会自动静默运行，极难被发现。

核心窃取目标：

• 全方位凭证： 自动搜刮 SSH Key、云服务秘钥（AWS/GCP/Azure）、K8s 配置、数据库密码及 .env 环境变量。
• 集群横向移动： 尝试在 Kubernetes 中部署特权 Pod，并在系统内植入 systemd 后门。

三、开发者紧急自救指南

如果您在 2026 年 3 月 24 日之后进行过安装或更新，请务必执行以下步骤：

1. 检查并强制回滚

检查版本，若处于恶意区间，请立即卸载并重装稳定版：

1

2

3

4

5

6

# 检查版本
pip show litellm | grep Version

# 卸载恶意版本并回滚
pip uninstall litellm==1.82.7 litellm==1.82.8 -y
pip install litellm==1.82.6

2. 清除系统残留

检查并删除可能存在的伪装后门：

1

2

3

4

# 停止并禁用伪装的电信遥测服务
systemctl stop sysmon-telemetry 2>/dev/null
systemctl&nbsp;disable&nbsp;sysmon-telemetry 2>/dev/null
rm&nbsp;-f /etc/systemd/system/sysmon-telemetry.service

3. 凭证轮换（重中之重）

即使已回滚版本，也必须默认所有密钥已泄露。 请立即更换：

• 所有云服务访问密钥（Access Keys）
• LLM API Keys (OpenAI, Anthropic 等)
• SSH 登录凭证与数据库密码

四、关键 IOC（失陷指标）

在防火墙或安全审计设备中，请重点监控以下域名及文件哈希：

| 类型 | 指标内容 | 说明 | | — | — | — | | C2 域名 | models.litellm.cloud | 数据外传通道 | | C2 域名 | checkmarx.zone | 持久化控制节点 | | SHA-256 | a0d229be8efcb2... | 被篡改的 proxy_server.py | | SHA-256 | 71e35aef030992... | 恶意的 litellm_init.pth |

总结与启示

此次事件标志着供应链攻击已进入“自动化收割”时代——从开发工具链到包管理器，每一环都可能成为突破口。建议企业优先启用 OIDC (OpenID Connect) 进行发布认证，彻底废弃长期有效的 API 令牌。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安守护老兵老兵《警惕！LiteLLM 遭供应链“连环套”投毒：从 Trivy 沦陷到 4.8 亿次下载量的威胁》