FutureSearch 研究员 Callum McMahon 发现,针对 PyPI 上 LiteLLM 的供应链攻击导致 4 万多次下载下载了被篡改的版本。该版本会安装恶意有效载荷,能够窃取并外泄敏感信息。LiteLLM 每天的下载量约为 300 万次。
Andrej Karpathy 在 X 上指出,该恶意软件能够窃取 SSL 和 SSH 密钥、云服务提供商凭证、Kubernetes 配置、Git 凭证、API 密钥、Shell 历史记录、加密货币钱包以及许多其他类型的机密信息。
根据 McMahon 的说法,此次攻击影响了 litellm 1.82.8 版本的软件包:
起初,我的电脑开始严重卡顿,在配备 48GB 内存的 Mac 上,这种情况本不该发生。htop 加载需要十几秒,CPU 占用率始终维持在 100% 。种种迹象表明,我接下来得在本地环境中折腾一阵子了……在尝试通过软件重启 Mac 未果后,我最后拍了一张照片留作证据,并随后进行了硬重启。
在向 PyPI 安全团队和 LiteLLM 维护者及时报告后,受影响的软件包在约 40 分钟内即被隔离。然而,风险范围还是进一步扩大了,因为任何依赖于 litellm1.82.8 的软件包都间接受到了影响。
据 McMahon 说,他的系统遭到入侵,仅仅是因为通过 Cursor 启动了一个本地 MCP 服务器。这个操作触发了最新 LiteLLM 包的下载,而这个包恰好在几分钟前被植入了恶意代码。然而,由于恶意软件本身存在的实现缺陷,导致 LiteLLM 进程发生递归分叉,最终使 McMahon 的系统彻底瘫痪:
.pth 启动器通过 subprocess.Popen 生成了一个 Python 子进程,但由于 .pth 文件会在每次解释器启动时触发,所以该子进程会再次触发同一个 .pth 文件——从而引发指数级分叉炸弹,导致机器崩溃。
Karpathy 指出,如果不是因为这个实现上的错误,该恶意软件本会长期存在而不被察觉,造成的破坏也将大许多。
AI 网络安全服务提供商 Point Wild 已经开源了一个依赖项扫描工具,旨在帮助开发者评估其依赖项所受的影响。该工具名为 who-touched-my-packages(wtmp),可以结合行为分析和基于 AI 的检测机制来标记零日供应链威胁,其检测范围超越了传统漏洞检测工具所能提供的范围。
FutureSearch 发布了一款名为 litellm-checker 的工具,旨在帮助软件包维护者判断其项目是否受到了供应链攻击的影响。
LiteLLM 团队报告称,此次供应链攻击是由于 Trivy 中存在的一个漏洞所致,它使攻击者能够在未经授权的情况下访问 LiteLLM 的发布管道。
如果想了解有关供应链攻击以及该恶意软件部署的恶意有效载荷的更多详情,请参阅 McMahon 的博文以及 Snyk 的详细分析。
声明:本文为 InfoQ 翻译,未经许可禁止转载。
原文链接:https://www.infoq.com/news/2026/03/litellm-supply-chain-attack/
