Slow Mist Alert: LiteLLM Attacked on PyPI, Crypto Wallets and API Keys Exposed

慢雾（SlowMist）首席信息安全官 23pds 于 3 月 25 日披露，月下载量达 9700 万次的 Python AI 网关库 LiteLLM 遭受 PyPI 供应链攻击，受损版本 1.82.7 及 1.82.8 在平台上至少存在两小时。攻击者通过植入多层恶意程序，可窃取包括加密货币钱包信息等敏感数据。

LiteLLM 成为供应链攻击高价值目标的结构性原因

LiteLLM 在 AI 技术堆栈中扮演统一接口角色，支持调用 OpenAI、Anthropic、Google 等主要服务商的模型，其架构直接位于应用程序与多个 AI 服务提供商之间，使其能够访问大量 API 密钥、环境变量与敏感配置资料。

攻破此类中间层软件包，攻击者无需直接入侵上游服务，即可拦截跨越本地开发环境、CI/CD 管线与云基础设施的敏感凭证。目前调查人员正评估此次攻击是否与威胁组织 TeamPCP 及 LAPSUS$ 有关，归因调查仍在进行中。事件最初由 GitHub 用户公开报告，并由 Futuresearch 外部研究人员进一步分析。

三层恶意载荷运作机制

受损版本中嵌入的恶意代码采用三层架构，通过混淆后的 Base64 编码 Python 程序实现：

第一层（数据外泄层）：收集本地敏感资料后以 AES-256-CBC 算法加密，使用硬编码 RSA 公钥加密会话密钥，打包为 tpcp.tar.gz 后外泄至攻击者控制的远端端点。

第二层（侦察与凭证收集层）：枚举系统信息、环境变量，并系统性提取 SSH 密钥、Git 凭证、AWS/GCP/Azure 云端凭证、Kubernetes 配置文件、加密货币钱包资料及 CI/CD 配置，部分情况下恶意程序会主动尝试使用已窃取凭证进行 AWS API 查询或 Kubernetes 操作。

第三层（持久化与远端控制层）：以 sysmon.py 写入磁盘并设置为系统服务，每 50 分钟向攻击者控制的端点轮询一次，使攻击者能够持续推送新恶意功能至已感染系统。

恶意通讯使用的域名包括 models.litellm.cloud 及 checkmarx.zone。

受影响组织的缓解建议

安装或运行过受损 LiteLLM 版本（1.82.7 或 1.82.8）的组织，应将相关系统视为已被入侵。由于恶意程序具备持久化能力并可能已部署额外载荷，仅移除软件包并不足够。

建议立即采取以下措施：轮换所有可能暴露的凭证（包括 AWS/GCP/Azure 访问密钥、SSH 密钥及 API 密钥）；审查日志中是否存在与 models.litellm.cloud 或 checkmarx.zone 的可疑出站连接；清除 tpcp.tar.gz、/tmp/pglog、/tmp/.pg_state 等已知恶意文件及 sysmon.py 相关服务；在条件允许的情况下，从已知干净状态重建受影响系统。

常见问题

哪些 LiteLLM 版本受此次供应链攻击影响？

受损版本为 LiteLLM 1.82.7 及 1.82.8，恶意程序分别嵌入于 proxy_server.py（两个版本均受影响）及 litellm_init.pth（版本 1.82.8），建议用户立即确认所使用版本并升级至最新安全版本。

此次攻击可能窃取哪些类型的敏感信息？

恶意程序的资料收集范围包括 SSH 密钥、AWS/GCP/Azure 云端凭证、Kubernetes 配置文件与服务账户令牌、Git 凭证、环境变量中的 API 密钥、Shell 历史记录、加密货币钱包资料及数据库密码，攻击面横跨本地开发环境、CI/CD 管线与云基础设施。

如何确认系统是否已被入侵？

可检查以下入侵指标：系统中是否存在 tpcp.tar.gz 压缩包、/tmp/pglog 或 /tmp/.pg_state 临时文件，以及与 sysmon.py 相关的持久化服务；同时审查出站网络连接记录，确认是否存在与上述恶意域名的通信。