每月下载量超过9500万次的开源软件库LiteLLM在近期的供应链投毒事件中被黑,黑客篡改1.82.7和1.82.8版添加恶意代码,这些恶意代码会搜索环境中的所有敏感数据回传到黑客服务器。黑客编写的恶意代码还具有横向传播能力,即扫描目标环境和窃取凭证后再利用凭证继续攻陷其他设施,例如大量k8s集群就被攻陷,泄露的数据无法估量。
LiteLLM本身是AI生态系统的万能翻译器,可以对接数百个大型语言模型的API,所以下游大量工具都将LiteLLM作为核心依赖,这也导致下游工具用户也同样受到攻击。
值得注意的是,黑客很有可能是通过AI编写的恶意代码,恶意代码里存在循环执行BUG,如果不是这个BUG导致服务器资源耗尽,可能也没人发现LiteLLM被投毒。
此次供应链攻击时间线:
2026年3月19日:开源漏洞扫描器Trivy被黑客劫持然后发布带毒版本
2026年3月23日:黑客攻陷CheckmarxKICS
2026年3月24日:黑客利用被污染的Trivy从LiteLLMCI/CD管道中窃取PyPItoken,然后发布带毒版本
恶意负载的三连击:
情报收割:恶意负载执行后会遍历SSH密钥、.env文件、云凭证、k8s配置、Git凭证、各种其他敏感凭据。
加密外传:用硬编码的RSA-4096公钥+AES-256-CBC加密数据,上传到黑客控制的models.litellm.cloud。
横向移动:若检测到k8s服务账户令牌,则恶意负载还会利用令牌安装后门实现横向传播和持久化。
此次攻击的潜在危害极大:
个人和中小企业:黑客拿到SSH密钥和云凭证后可以直接接管账号,甚至植入勒索软件加密数据进行勒索。
企业级AI团队:LiteLLM作为代理层持有海量APIKEY,攻击者可以伪造请求窃取数据甚至向投毒下游模型。
kubernetes集群:特权Pod和宿主机挂载形成完整接管,黑客可以窃取全部数据并将集群变成僵尸网络。
连锁反应:被盗凭证还可以用于下次攻击,形成恶性循环,最终导致更多项目被攻击、被窃取更多数据。
值得注意的是本次供应链攻击源头开源漏洞扫描器Trivy就是第二次被黑,在2026年2月底该工具已经被黑客攻陷,当时的清理工作可能并不完整,导致黑客仍然有权限可以操作,不过这还需要持续调查。
LiteLLM恶意版本上线时间约为3小时,按照LiteLLM日均340万次下载来计算,已经安装带毒版本的实例仍然有42万个,潜在安全风险已经无法估量。
TeamPCP黑客团队:
从目前已知消息来看,发起此次攻击的黑客团队名为TeamPCP,已经有关注网络安全的团队联系TeamPCP,这个黑客团队透露目前已经拿到的数据超过300GB,不过因为拿到的数据量比较大目前还在对这些数据进行处理和清洗。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】