【安全圈】AI 圈地震：月安裝量約 9500 萬次的 API 網關 LiteLLM 遭投毒

關鍵詞

大模型投毒

科技媒體 cyberkendra 昨日（3 月 24 日）發布博文，報告稱月均安裝量達 9500 萬次的 AI 基礎設施工具 LiteLLM 遭到供應鏈投毒。

IT 之家注：LiteLLM 是一個開源的 AI API 網關，作為支撐數千家企業 AI 架構的關鍵工具，支持開發者通過統一的格式調用 OpenAI、Anthropic、Azure 等 100 多家服務商的 API 調用。

該工具于 2026 年 3 月 24 日在 PyPI 官方倉庫發布了兩個帶有后門的版本（1.82.7 和 1.82.8）。這兩個惡意版本攜帶了復雜的 " 三階段 " 攻擊負載：首先通過憑據收集器竊取數據，隨后利用 Kubernetes 橫向移動工具在集群節點間滲透，最后植入偽裝成 " 系統遙測服務 " 的持久后門。

惡意版本目前已從倉庫撤下，最后一個安全版本確認為 1.82.6。

此次投毒在技術手段上表現出極高的隱蔽性。1.82.7 版本將惡意代碼隱藏在 proxy_server.py 文件中，只要用戶導入該模塊，代碼就會靜默執行。

而 1.82.8 版本則進一步升級了破壞力，攻擊者利用了 Python 的 .pth 配置文件特性。由于 Python 解釋器在啟動時會自動處理此類文件，這意味著惡意軟件會在任何 Python 調用時觸發，用戶無需手動導入任何模塊或進行交互，環境即會被完全感染。

黑客為了模仿 LiteLLM 的官方服務，通過偽造的域名 models.litellm.cloud 進行數據回傳，而該域名極具誤導性。

被竊取的數據范圍極廣，涵蓋了 SSH 密鑰、AWS 和 GCP 云憑據、Kubernetes 機密、加密貨幣錢包以及 CI / CD 令牌等。

LiteLLM 本身就是一個 API 密鑰管理網關，黑客精準打擊了這一掌握各類資源 " 鑰匙 " 的核心節點。此外為規避流量檢測，所有外傳數據在發送前都經過了 AES-256-CBC 和 RSA-4096 的高強度加密。

安全公司 Endor Labs 調查發現，此次攻擊由黑客組織 TeamPCP 發起。該組織本月早些時候曾入侵過 Aqua Security 的 Trivy 掃描器。

由于 LiteLLM 在自身的 CI / CD 流水線中使用了已被入侵的 Trivy 工具，導致 TeamPCP 獲取了 LiteLLM 的發布權限，從而成功推送了帶毒版本。

受影響的用戶應立即采取行動以挽回損失。首先，請運行命令 pip show litellm | grep Version 確認當前版本，并檢查 site-packages 目錄下是否存在 litellm_init.pth 文件。

如果確認安裝過惡意版本，必須立即強制更換所有云端密鑰、SSH 私鑰、數據庫密碼及 Kubernetes 令牌。同時，建議用戶將 LiteLLM 降級至 1.82.6 版本，并安全審計過去 48 小時內運行過的所有 CI / CD 流水線，確保沒有殘留的持久化后門。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！