文章总结： LiteLLM开源库被投毒，黑客在1.82.7和1.82.8版本植入恶意代码，窃取SSH密钥、云凭证等敏感数据并横向传播，影响42万安装实例。攻击链涉及Trivy、KICS被攻陷，利用窃取的PyPItoken发布带毒版本。危害涵盖个人、企业、k8s集群及AI生态，TeamPCP黑客声称已获超300GB数据。建议立即检查部署、更换凭证、升级版本。 综合评分： 87 文章分类： 供应链安全,漏洞预警,AI安全,恶意软件,安全大事件

AI开源供应链出现核爆级危机：LiteLLM库遭投毒

安全学习那些事儿

2026年3月27日 15:03 上海

2026年3月25日，每月下载量超过9500万次的开源软件库LiteLLM在近期的供应链投毒事件中被黑，黑客篡改1.82.7和1.82.8版添加恶意代码，这些恶意代码会搜索环境中的所有敏感数据回传到黑客服务器。黑客编写的恶意代码还具有横向传播能力，即扫描目标环境和窃取凭证后再利用凭证继续攻陷其他设施，例如大量k8s集群就被攻陷，泄露的数据无法估量。

LiteLLM本身是AI生态系统的万能翻译器，可以对接数百个大型语言模型的API，所以下游大量工具都将LiteLLM作为核心依赖，这也导致下游工具用户也同样受到攻击。

值得注意的是，黑客很有可能是通过AI编写的恶意代码，恶意代码里存在循环执行BUG，如果不是这个BUG导致服务器资源耗尽，可能也没人发现 LiteLLM被投毒。

此次供应链攻击时间线：

• 2026年3月19日：开源漏洞扫描器Trivy被黑客劫持然后发布带毒版本
• 2026年3月23日：黑客攻陷Checkmarx KICS
• 2026年3月24日：黑客利用被污染的Trivy从LiteLLM CI/CD管道中窃取 PyPI token，然后发布带毒版本

恶意负载的三连击：

• 情报收割：恶意负载执行后会遍历SSH密钥、.env文件、云凭证、k8s配置、Git凭证、各种其他敏感凭据。
• 加密外传：用硬编码的RSA-4096公钥+AES-256-CBC加密数据，上传到黑客控制的models.litellm.cloud。
• 横向移动：若检测到k8s服务账户令牌，则恶意负载还会利用令牌安装后门实现横向传播和持久化。

此次攻击的潜在危害极大：

• 个人和中小企业：黑客拿到SSH密钥和云凭证后可以直接接管账号，甚至植入勒索软件加密数据进行勒索。
• 企业级AI团队：LiteLLM作为代理层持有海量API KEY，攻击者可以伪造请求窃取数据甚至向投毒下游模型。
• kubernetes集群：特权Pod和宿主机挂载形成完整接管，黑客可以窃取全部数据并将集群变成僵尸网络。
• 连锁反应：被盗凭证还可以用于下次攻击，形成恶性循环，最终导致更多项目被攻击、被窃取更多数据。

值得注意的是本次供应链攻击源头开源漏洞扫描器Trivy就是第二次被黑，在2026年2月底该工具已经被黑客攻陷，当时的清理工作可能并不完整，导致黑客仍然有权限可以操作，不过这还需要持续调查。

LiteLLM恶意版本上线时间约为3小时，按照LiteLLM日均340万次下载来计算，已经安装带毒版本的实例仍然有42万个，潜在安全风险已经无法估量。

TeamPCP黑客团队：从目前已知消息来看，发起此次攻击的黑客团队名为 TeamPCP，已经有关注网络安全的团队联系TeamPCP，这个黑客团队透露目前已经拿到的数据超过300GB，不过因为拿到的数据量比较大目前还在对这些数据进行处理和清洗。

解码人工智能安全风险与挑战 成为一名AI安全专家!

相关阅读

你的亲友可能被“克隆”！国安部提醒

中央网信办召开全国网络举报工作会议

荷兰财政部确认遭受网络攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《AI开源供应链出现核爆级危机：LiteLLM库遭投毒》