事件概述 - 这是一起针对Python库LiteLLM的教科书级软件供应链攻击事件，影响广泛[1][5] - 恶意版本通过被窃取的PyPI发布令牌直接上传至PyPI，绕过了代码审查，官方GitHub仓库本身保持干净[19] 受影响范围与严重性 - 受攻击的Python库LiteLLM在GitHub上拥有超过4万星，月下载量达9700万次[2] - 恶意代码存在于版本号1.82.7和1.82.8中，目前已被撤回，PyPI隔离措施已解除[3][4] - 影响范围不仅限于LiteLLM本身，还包括所有以LiteLLM为基础依赖的其他项目和软件包[7] - 简单的pip install litellm即可导致SSH密钥、云服务凭证、API密钥、数据库密码等大量敏感信息被窃取[6] 攻击技术细节 - 攻击负载分为三个阶段运行：信息搜刮、数据外传、横向移动与持久化[9][10][17] - 信息搜刮阶段：脚本会搜刮主机中的SSH私钥、.env文件、云服务凭证、Kubernetes配置、数据库密码、git配置、shell历史记录、加密货币钱包文件等[9] - 数据外传阶段：收集的数据使用4096位RSA公钥和AES-256-CBC模式加密，通过POST请求发送至非官方的models.litellm.cloud域名[10] - 横向移动与持久化阶段：若存在Kubernetes服务账户令牌，会尝试读取集群机密并创建特权Pod；同时会在本地和宿主机文件系统植入持久化后门[17] 事件发现过程 - 恶意版本因攻击代码中的bug而被发现，该bug导致了一个指数级分叉炸弹，使机器因内存爆炸而崩溃[13][14] - 开发者Callum McMahon在Cursor内部运行的MCP插件将此包作为传递依赖项拉取时发现了此问题[14] - 有观点认为，如果攻击者编程能力更强，可能几周都不会有人注意到此次攻击[15] - 据称恶意代码的开发者采用了AI编码导致出现Bug，有开发者表示“vibe coding”在此次事件中起到了积极作用[16] 行业反应与专家观点 - 该事件引发了马斯克（Elon Musk）的关注，其用“Caveat emptor”提醒大家注意风险[12] - 英伟达机器人部门总监Jim Fan表达了关切，认为过去的身份盗窃与代理能做的事相比不值一提[18] - Jim Fan与Karpathy观点一致，认为人们很少需要LiteLLM支持的所有API，建议根据需求构建自定义功能软件[19] - Karpathy更倾向于在功能足够简单且可行的情况下，利用LLM把功能“薅”过来自己实现一遍[19] - Sebastian Raschka发现此次攻击与数年前的ctx包事件非常相似[21] 风险规避建议 - Sebastian Raschka提出的规避风险最佳路径包括：从可信源获取源代码快照、进行深度安全审计、将审计过的源代码直接整合进自己的库中[21] - 根据FutureSearch提示，建议开发者检查是否在2026年3月24日或之后安装或升级了LiteLLM至版本1.82.8[21] - 若受影响，需从所有环境中删除LiteLLM 1.82.8，并清理包管理器缓存[22] - 必须检查是否存在持久化痕迹文件，并假设受影响机器上的所有凭证都已泄露，立即轮换SSH密钥、云服务商凭证、API密钥、数据库密码等[22]