北京
一个每天被下载300万次的Python库,在某个版本里被人塞进了"特洛伊木马"——而你毫无察觉。
FutureSearch研究员Callum McMahon最近就踩了这个坑。他只是想用Cursor启动一个本地MCP服务器,结果系统自动拉取了LiteLLM的最新版本1.82.8。这个包几分钟前刚被篡改,像超市货架上被人调换过的牛奶,外表一模一样,内里已经变质。
恶意代码的胃口很大:SSL和SSH密钥、云服务凭证、Kubernetes配置、Git账号、API密钥、Shell历史、加密货币钱包——Andrej Karpathy在X上列出的这份清单,基本覆盖了一个开发者的全部数字身家。用他的话来说,要不是代码写得太烂,这事根本不会被发现。
烂在哪?攻击者用了.pth文件做启动器,每次Python解释器启动都会触发它,然后它再去开子进程——子进程又触发.pth,子子孙孙无穷尽也。McMahon的48GB内存Mac直接卡死,htop都要十几秒才能打开,CPU飙到100%。这相当于小偷入室行窃,结果因为动静太大把房主吵醒了。
PyPI团队和LiteLLM维护者反应很快,40分钟内隔离了问题包。但隐患没完全消除:任何依赖这个版本的下游包都成了"二传手"。LiteLLM团队后来溯源,发现是Trivy里的一个漏洞让攻击者溜进了发布管道——CI/CD工具成了后门,这种事已经不是第一次了。
现在有两个工具可以查毒:Point Wild开源的who-touched-my-packages(wtmp)用AI+行为分析抓零日威胁,FutureSearch自己也做了litellm-checker专门扫这次的影响范围。
McMahon在复盘时提到一个细节:他硬重启前特意拍了张照片留证。对开发者来说,这可能是比任何安全工具都重要的习惯——当机器突然 behaving badly,先别急着重启,看看谁在搞鬼。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
