打开网易新闻 查看精彩图片

LiteLLM出事了。这个被4万个GitHub star标记、每月9500万次下载的Python库,在两天内连续发布两个恶意版本。开发者们习惯的pip install,这次装进去的是一套完整的凭证收割机。

打开网易新闻 查看精彩图片

攻击链条像俄罗斯套娃一样层层嵌套。3月19日,Aqua Security的开源漏洞扫描器Trivy先被投毒——讽刺的是,这是一款专门用来发现安全问题的工具。四天后,LiteLLM的CI流水线调用Trivy做例行扫描,"安全扫描"反倒把PyPI发布密码送进了攻击者口袋。

打开网易新闻 查看精彩图片

拿到凭证的TeamPCP没急着动手。3月24日上午,他们发布1.82.7版本,把恶意代码藏进代理服务器模块。几个小时后,1.82.8版本更狠:新增一个litellm_init.pth文件,利用Python启动时自动执行.pth文件的特性,只要Python运行,木马就跟着运行——连import都不需要。

「安全工具成了攻击向量」,这是供应链安全里最尴尬的剧本。攻击者甚至懒得找漏洞,直接用了Python文档里写明的标准行为。三层base64嵌套的载荷,最终解密出RSA-4096加密的凭证收割器,目标清单包括SSH密钥、云厂商凭证、K8s密钥、加密钱包,以及你藏在.env文件里的所有秘密。

目前LiteLLM已发布1.82.9清理版本,但那个伪造的models.litellm.cloud域名,和每50分钟轮询一次的后门机制,说明攻击者早就做好了长期潜伏的准备。有开发者在GitHub issue里贴出自己的依赖扫描结果:DSPy、MLflow、Open Interpreter等2000多个下游包,全都挂着LiteLLM这条锚链。