Hacker News 中文摘要

RSS订阅

LiteLLM Python包遭供应链攻击入侵 -- LiteLLM Python package compromised by supply-chain attack

原文链接 | HN讨论 | 2026-03-24 22:46:57

文章摘要

litellm 1.82.8版本中的恶意文件litellm_init.pth被发现会窃取用户凭证,存在严重安全风险。该问题已作为关键安全问题被报告,建议用户立即检查并采取防护措施。

文章总结

安全警报:litellm 1.82.8 版本中的恶意文件 litellm_init.pth 窃取凭证

主要内容概述:

  1. 问题发现

    • 在 PyPI 发布的 litellm==1.82.8 版本中,发现恶意文件 litellm_init.pth(34,628 字节)。该文件会在 Python 解释器启动时自动执行,无需导入 litellm 模块即可窃取用户凭证。

  2. 恶意行为分析

    • 触发机制.pth 文件位于 site-packages/ 目录,Python 启动时会自动执行(参考 Python 文档)。
    • 数据收集:脚本会窃取以下敏感信息:
      • 系统信息(主机名、IP 地址、环境变量等)
      • SSH 密钥、Git 凭证、云服务凭据(AWS、GCP、Azure)
      • 数据库配置、CI/CD 机密、加密货币钱包等
    • 数据外泄:收集的数据通过加密后发送至攻击者控制的服务器 https://models.litellm.cloud/(注意:非官方域名 litellm.ai)。

  3. 影响范围

    • 所有安装 litellm==1.82.8 的用户(包括开发环境、CI/CD 流水线、生产服务器等)。
    • 其他版本(如 1.82.7)也可能被波及,需进一步检查。

  4. 建议措施

    • 用户
      1. 检查 site-packages/ 目录中是否存在 litellm_init.pth
      2. 立即轮换所有可能泄露的凭证(如环境变量、配置文件中的密钥)。
    • PyPI:下架受影响的版本。
    • 开发者团队:审计发布凭据和 CI/CD 流程,排查入侵途径。

  5. 技术细节

    • 恶意脚本通过双重 Base64 编码隐藏,避免简单搜索发现。
    • 使用硬编码的 RSA 公钥加密会话密钥(前 64 位:MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvahaZDo8mucujrT15ry+...)。

  6. 社区反馈

    • 多名用户确认受影响,部分建议降级至安全版本(如 litellm<=1.82.6)。
    • 有报告称 1.82.7 版本也存在类似问题(恶意代码位于 proxy/proxy_server.py)。

总结:这是一次严重的供应链攻击,需立即采取行动以降低风险。用户应优先检查系统并更新凭证,开发者需确保发布流程的安全性。

(注:原文中的导航菜单、评论详情等非核心内容已精简,保留关键技术和行动建议。)

评论总结

以下是评论内容的总结:

1. 关于事件的性质

  • 供应链攻击:多位用户指出这是针对LiteLLM的供应链攻击,影响广泛(评论11,21)
    • "A brutal one. A ton of people use litellm as their gateway"(评论11)
    • "That's a bad supply-chain attack, many folks use litellm as main gateway"(评论21)
  • 账户被黑:创始人/CTO账户可能被入侵(评论4,6)
    • "Look like the Founder and CTO account has been compromised"(评论4)
    • "the owners account being possibly compromised"(评论6)

2. 技术细节

  • 恶意行为:包含fork炸弹等恶意代码(评论15)
    • "it forkbombed grep -r rpcuser\rpcpassword processes"(评论15)
  • 防护建议:使用Python的-S选项可阻止自动导入(评论18)
    • "The automatic import can be suppressed using Python interpreter’s -S option"(评论18)

3. 平台责任

  • GitHub的不足:对垃圾评论检测不力(评论6)
    • "I would expect better spam detection system from GitHub"(评论6)
  • 发布机制改进:建议多因素认证(评论29)
    • "require multi-factor auth from more than one person before they go live"(评论29)

4. 影响范围

  • 广泛使用:被多个软件依赖(评论12,20)
    • "this is in a lot of software"(评论12)
    • "running it (as a proxy) in my homelab"(评论20)
  • 已隔离:PyPI已隔离该包(评论22,23)
    • "It's been quarantined on PyPI"(评论22)

5. 相关背景

  • TeamPCP关联:可能与近期其他攻击有关(评论7,19)
    • "teampcp taking credit?"(评论7)
    • "tied to the TeamPCP activity over the last few weeks"(评论19)
  • 历史事件:类似Trivy被黑事件(评论13)
    • "First Trivy (which got compromised twice), now LiteLLM"(评论13)

6. 用户建议

  • 替代方案:寻求其他类似工具(评论10,16)
    • "know a good alternate project?"(评论10)
    • "switched to just using OpenRouter"(评论16)
  • 风险意识:应评估依赖的必要性(评论9)
    • "exposing yourself for is-odd... is not worth it"(评论9)

7. 深层问题

  • 系统脆弱性:现代软件生态的脆弱性(评论13,24)
    • "runs on egg-shells"(评论13)
    • "need to reflect on trusting trust"(评论24)
  • AI影响:可能加剧安全威胁(评论26,27)
    • "training data injection seems very possible"(评论26)
    • "The attacks are only going to get worse"(评论27)