Story 02 · 260324
恶意 LiteLLM 发布窃取凭据
LiteLLM 的 1.82.8 版本以及更早的 1.82.7 版本被发布到 PyPI 时包含恶意代码,其中 1.82.8 通过隐藏的 `litellm_init.pth` 文件在安装阶段运行凭据窃取程序。PyPI 现已隔离该软件包,因此受影响时间窗口仅有数小时。 这是一起严重的软件供应链安全事件,因为攻击代码无需执行 `import litellm`,仅安装软件包就可能触发恶意行为。该窃取程序瞄准了开发者、云平台、容器、数据库以及加密货币相关的大量敏感凭据,因此一旦中招,影响范围可能非常大。 恶意载荷被以 base64 混淆后藏在 `.pth` 文件中,而 `.pth` 是 Python 在安装后从 `site-packages` 启动时可能执行代码的一种机制。报告称其窃取目标包括 `~/.ssh/`、AWS 和 Azure 等云凭据、Kubernetes 与 Docker 配置、Git 凭据、Shell 历史记录文件,以及多个加密货币钱包目录。
rss · Simon Willison · 2026-03-24 15:07 UTC
Summary
核心内容
LiteLLM 的 1.82.8 版本以及更早的 1.82.7 版本被发布到 PyPI 时包含恶意代码,其中 1.82.8 通过隐藏的 `litellm_init.pth` 文件在安装阶段运行凭据窃取程序。PyPI 现已隔离该软件包,因此受影响时间窗口仅有数小时。 这是一起严重的软件供应链安全事件,因为攻击代码无需执行 `import litellm`,仅安装软件包就可能触发恶意行为。该窃取程序瞄准了开发者、云平台、容器、数据库以及加密货币相关的大量敏感凭据,因此一旦中招,影响范围可能非常大。 恶意载荷被以 base64 混淆后藏在 `.pth` 文件中,而 `.pth` 是 Python 在安装后从 `site-packages` 启动时可能执行代码的一种机制。报告称其窃取目标包括 `~/.ssh/`、AWS 和 Azure 等云凭据、Kubernetes 与 Docker 配置、Git 凭据、Shell 历史记录文件,以及多个加密货币钱包目录。
Background
背景补充
`.pth` 文件通常用于扩展 Python 的模块搜索路径,但它也可以包含会在解释器启动时执行的导入语句。因此,这种机制很适合被恶意软件包利用,因为即使受害者从未显式导入该包,也可能已经被入侵。报告推测,攻击者可能是通过近期与 Trivy 相关的供应链事件窃取了 PyPI 发布凭据,而 LiteLLM 的 CI 流程中恰好使用了该安全扫描工具。PyPI 的隔离机制是一种防御措施,可在调查可疑版本期间阻止进一步安装。
Excerpt
抓取内容节选
LiteLLM 的 1.82.8 版本以及更早的 1.82.7 版本被发布到 PyPI 时包含恶意代码,其中 1.82.8 通过隐藏的 `litellm_init.pth` 文件在安装阶段运行凭据窃取程序。PyPI 现已隔离该软件包,因此受影响时间窗口仅有数小时。 这是一起严重的软件供应链安全事件,因为攻击代码无需执行 `import litellm`,仅安装软件包就可能触发恶意行为。该窃取程序瞄准了开发者、云平台、容器、数据库以及加密货币相关的大量敏感凭据,因此一旦中招,影响范围可能非常大。 恶意载荷被以 base64 混淆后藏在 `.pth` 文件中,而 `.pth` 是 Python 在安装后从 `site-packages` 启动时可能执行代码的一种机制。报告称其窃取目标包括 `~/.ssh/`、AWS 和 Azure 等云凭据、Kubernetes 与 Docker 配置、Git 凭据、Shell 历史记录文件,以及多个加密货币钱包目录。
References
参考链接
Navigation