TeamPCP 45分钟攻破PyPI|pypi|python|token|密钥

3月24日10:39 UTC，两个恶意版本的LiteLLM出现在PyPI仓库。46分钟后，整个项目被PyPI强制隔离，所有版本下架。但这45分钟的窗口期，足以让任何安装过1.82.7或1.82.8的机器沦为筛子——SSH密钥、云凭证、Kubernetes密钥、加密货币钱包，全部被收割。

更麻烦的是，你可能根本没主动装过LiteLLM。它作为transitive dependency（传递依赖）藏在你的依赖树深处，而你一无所知。

攻击链：从Trivy到LiteLLM，一场5天的连环劫

这不是孤狼作案。威胁组织TeamPCP在5天内完成了三连击，每一步都精准踩在现代DevOps的盲点上。

3月19日：Aqua Security的Trivy扫描器被force-push恶意标签。被篡改的Trivy action专门窃取CI/CD runner中的机密。

3月23日：同一拨人劫持了Checkmarx KICS的全部35个GitHub Actions标签，顺手还搞了OpenVSX扩展。手法一致：先偷服务账户，再批量投毒。

3月24日：用Trivy事件中窃取的PyPI token，TeamPCP在10:39 UTC上传了恶意LiteLLM包。PyPI在11:25 UTC完成隔离——但token早已到手， damage done（损害已成）。

关键细节在这里：LiteLLM的CI/CD流水线没有固定Trivy版本号。当受损的Trivy action在LiteLLM的GitHub Actions runner里执行时，它顺手牵羊拿走了PYPI_PUBLISH token，直接发给攻击者。这个token随后被用来向PyPI推送恶意包。

LiteLLM本身是API密钥管理网关。攻击者专门挑了这个设计上就能接触组织内所有LLM API密钥的包下手。这不是运气，是算计。

恶意代码的两种面孔：从"导入触发"到"无差别感染"

1.82.7版本把payload藏在proxy/proxy_server.py里，import即触发。老派，但有效。

1.82.8版本玩得更脏。它塞了一个litellm_init.pth文件。Python的site模块在解释器初始化时会自动处理site-packages下的所有.pth文件——这意味着任何Python进程都会触发，不管你有没有import litellm。系统级Python、虚拟环境、容器里的Python，全中。

payload用了双层base64编码：

import base64; exec(base64.b64decode('...'))

解码后是三阶段攻击：

第一阶段（凭证收割）：SSH密钥、AWS/GCP/Azure令牌、环境变量（含API key和token）、.env文件、Kubernetes配置，全部打包。

第二阶段（外渗）：数据被发送到外部服务器，部分版本还尝试维持持久化访问。

第三阶段（横向移动）：利用窃取的凭证尝试访问云基础设施和其他内部系统。

整个设计像个自动售货机：投币（安装包），出货（你的全部机密）。