LiteLLM PyPI供应链投毒事件分析：v1.82.7/8版本植入凭证窃取后门

2026年3月24日曝光的 LiteLLM 供应链投毒事件，是一场典型的高级持续威胁（APT）攻击。攻击者 TeamPCP 巧妙地利用了安全工具链中的薄弱环节，通过“滚雪球”式的凭证窃取手段，在短短几天内连续攻陷了多个知名开源项目的防御体系。这起事件不仅威胁到 LiteLLM 这一重要的 AI 应用编排层基础设施，也为整个开源生态的安全治理敲响了警钟。

上图展示了 LiteLLM 作为开发者与多种 AI 服务（如 LLM APIs、工具、智能体）之间的桥梁角色。正是这种核心的“枢纽”地位，使其成为供应链攻击的高价值目标。一旦该层被植入恶意代码，影响将顺着依赖链向下游广泛扩散。

事件概览与影响

本次攻击具有明确的 供应链攻击 属性，具体信息如下：

• 受影响版本： litellm 包的 1.82.7 和 1.82.8 版本。
• 攻击载体：通过 Python 包索引 PyPI 发布被篡改的恶意包。
• 恶意行为：包内包含一个名为 litellm_init.pth 的文件，该文件会在 Python 环境初始化时自动执行。其核心功能是凭证窃取，目标包括：
  • 系统信息 (systeminfo)
  • 环境变量 (env)
  • SSH 密钥 (sshkey)
  • Git 配置 (git)
  • 各大云服务商凭证（aws, k8s, azure)
  • Docker 配置
  • SSL/TLS 证书
  • 加密钱包信息
• 数据外传：窃取的凭证信息会被发送至攻击者控制的域名 models.litellm.cloud。

如何检测与修复

如果你的项目或环境使用了 litellm，请立即按照以下步骤进行检查：

1. 检查当前安装的版本：
   在终端中执行以下命令，查看已安装的 litellm 版本。

   pip show litellm

   如果输出显示版本号为 1.82.7 或 1.82.8，则表明你已安装恶意版本。

2. 检查恶意文件：
   在 Python 的 site-packages 目录或虚拟环境的对应目录下，检查是否存在 litellm_init.pth 文件。该文件的存在是感染的确凿证据。

3. 立即升级到安全版本：
   确认感染后，应立即升级到官方发布的安全版本。执行以下命令进行修复：

   pip install litellm --upgrade

   或者指定一个已知的安全版本进行安装（请查阅官方通告获取确切的安全版本号）：

   pip install litellm==<安全版本号>

4. 进行安全审计：
   由于该后门会窃取大量敏感凭证，强烈建议对所有可能受影响的系统（如云服务器、代码仓库、容器服务）进行全面排查和凭证轮换。

事件深度分析与启示

这并非一次简单的恶意代码注入。攻击者 TeamPCP 首先通过入侵一款名为 Trivy 的流行安全扫描器供应链，获得了初始立足点。随后，他们利用从 Trivy 维护者那里窃取的凭证，横向移动，最终成功入侵了 LiteLLM 项目的发布流程。这种“以安全之矛，攻安全之盾”的策略，展现了现代 供应链攻击 的复杂性和穿透力。

对于开发者和企业而言，此事件带来了多重警示：

• 依赖管理需警惕：即使是 LiteLLM 这样备受信赖的开源项目也会成为攻击目标。自动化依赖更新（如 Dependabot）虽好，但必须配合严格的版本 pinning 和可信源策略。
• 安全工具亦非绝对安全：用于保障安全的基础工具（如扫描器、CI/CD 插件）本身可能成为攻击入口。对安全工具链的访问权限管理需要格外严格。
• 凭证隔离至关重要：开发者账号、CI/CD 系统、包发布权限应实现最小权限原则和相互隔离，避免一处失守，全线崩溃。
• 社区响应速度：本次事件中，从问题曝光到主流安全厂商（如 Microsoft, Snyk, Datadog）发布详细分析报告及缓解指南，反应迅速。积极参与社区讨论和关注官方及权威安全机构的技术博客，是获取第一手威胁情报的关键。你也可以在云栈社区的 安全/渗透/逆向 板块关注更多此类深度分析。

参考资料与官方回应

如果你想深入了解技术细节和追踪事件最新进展，以下资源至关重要：

1. LiteLLM 官方 Issue 跟踪： https://github.com/BerriAI/litellm/issues/24512
2. FutureSearch.ai 技术分析： https://futuresearch.ai/blog/no-prompt-injection-required/
3. Microsoft Security Blog: Guidance for detecting, investigating, and defending against the Trivy supply chain compromise (2026-03-24).
4. Snyk Security Research: How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM (2026-03-24).
5. Datadog Security Labs: LiteLLM compromised on PyPI: Tracing the March 2026 TeamPCP supply chain campaign.
6. LiteLLM Official Blog: Security Update: Suspected Supply Chain Incident - March 24, 2026.
7. Simon Willison‘s Weblog: Malicious litellm_init.pth in litellm 1.82.8 — credential stealer.