近日,开源AI API网关LiteLLM遭遇供应链投毒事件,引发全球开发者社区高度关注。作为支撑数千家企业AI架构的核心工具,该平台每月安装量高达9500万次,支持通过统一接口调用OpenAI、Anthropic等100余家服务商的API服务。此次攻击导致两个恶意版本(1.82.7和1.82.8)在PyPI官方仓库短暂发布,现已被紧急撤下。
安全公司Endor Labs披露,黑客组织TeamPCP通过精心设计的"三阶段"攻击链实施破坏。首个恶意版本1.82.7将攻击代码植入proxy_server.py文件,用户导入模块时即触发凭据窃取程序;升级版1.82.8则利用Python的.pth配置文件特性,使恶意软件在解释器启动时自动执行,无需用户任何交互即可实现环境感染。为增强隐蔽性,攻击者注册了伪造域名models.litellm.cloud用于数据回传,该域名与官方域名高度相似。
被窃取数据涵盖企业核心资产,包括SSH密钥、主流云平台(AWS/GCP)认证凭证、Kubernetes集群配置、加密货币钱包及CI/CD系统令牌。由于LiteLLM本身作为API密钥管理中枢,此次攻击相当于直接获取了企业AI基础设施的"万能钥匙"。为规避网络监测,所有外传数据均采用AES-256-CBC与RSA-4096双重加密处理。
调查显示,攻击路径始于本月早些时候TeamPCP对Aqua Security Trivy扫描器的入侵。该组织通过篡改LiteLLM的CI/CD流水线,利用被污染的Trivy工具获取发布权限,最终成功推送恶意版本。这种通过供应链上游渗透的攻击方式,凸显开源生态面临的系统性风险。
安全专家建议受影响用户立即执行三项应急措施:通过命令"pip show litellm | grep Version"核查当前版本;检查site-packages目录是否存在litellm_init.pth文件;强制轮换所有云端密钥、SSH私钥及Kubernetes令牌。同时建议将LiteLLM降级至1.82.6安全版本,并对近48小时内运行的CI/CD流水线进行全面审计,防止持久化后门残留。
此次事件再次敲响开源软件安全警钟。据统计,PyPI仓库每月处理超过30亿次下载请求,但仅有12%的包经过基本安全验证。开发者社区呼吁建立更严格的发布审核机制,包括多因素认证、代码签名验证及自动化漏洞扫描等防护措施。
