AI圈地震：月安装量约9500万次的API网关LiteLLM遭投毒，波及OpenAI / Anthropic等用户

3 月 25 日，科技媒体 cyberkendra 昨日（3 月 24 日）发布博文，报告称月均安装量达 9500 万次的 AI 基础设施工具 LiteLLM 遭到供应链投毒。

IT之家注：LiteLLM 是一个开源的 AI API 网关，作为支撑数千家企业 AI 架构的关键工具，支持开发者通过统一的格式调用 OpenAI、Anthropic、Azure 等 100 多家服务商的 API 调用。

该工具于 2026 年 3 月 24 日在 PyPI 官方仓库发布了两个带有后门的版本（1.82.7 和 1.82.8）。这两个恶意版本携带了复杂的“三阶段”攻击负载：首先通过凭据收集器窃取数据，随后利用 Kubernetes 横向移动工具在集群节点间渗透，最后植入伪装成“系统遥测服务”的持久后门。

恶意版本目前已从仓库撤下，最后一个安全版本确认为 1.82.6。

此次投毒在技术手段上表现出极高的隐蔽性。1.82.7 版本将恶意代码隐藏在 proxy_server.py 文件中，只要用户导入该模块，代码就会静默执行。

而 1.82.8 版本则进一步升级了破坏力，攻击者利用了 Python 的.pth 配置文件特性。由于 Python 解释器在启动时会自动处理此类文件，这意味着恶意软件会在任何 Python 调用时触发，用户无需手动导入任何模块或进行交互，环境即会被完全感染。

黑客为了模仿 LiteLLM 的官方服务，通过伪造的域名 models.litellm.cloud 进行数据回传，而该域名极具误导性。

被窃取的数据范围极广，涵盖了 SSH 密钥、AWS 和 GCP 云凭据、Kubernetes 机密、加密货币钱包以及 CI / CD 令牌等。

LiteLLM 本身就是一个 API 密钥管理网关，黑客精准打击了这一掌握各类资源“钥匙”的核心节点。此外为规避流量检测，所有外传数据在发送前都经过了 AES-256-CBC 和 RSA-4096 的高强度加密。

安全公司 Endor Labs 调查发现，此次攻击由黑客组织 TeamPCP 发起。该组织本月早些时候曾入侵过 Aqua Security 的 Trivy 扫描器。

由于 LiteLLM 在自身的 CI / CD 流水线中使用了已被入侵的 Trivy 工具，导致 TeamPCP 获取了 LiteLLM 的发布权限，从而成功推送了带毒版本。

受影响的用户应立即采取行动以挽回损失。首先，请运行命令 pip show litellm grep Version 确认当前版本，并检查 site-packages 目录下是否存在 litellm_init.pth 文件。

如果确认安装过恶意版本，必须立即强制更换所有云端密钥、SSH 私钥、数据库密码及 Kubernetes 令牌。同时，建议用户将 LiteLLM 降级至 1.82.6 版本，并安全审计过去 48 小时内运行过的所有 CI / CD 流水线，确保没有残留的持久化后门。

本文源自：IT之家