LiteLLM SDK 被投毒事件深度分析

2026年3月24日，Python官方包管理仓库PyPI出现了LiteLLM的两个恶意版本（1.82.7和1.82.8）。这两个版本并未经过官方GitHub仓库的PR流程提交，在官方代码库中找不到对应提交记录。值得注意的是，这两个恶意版本在发布后仅13分钟内相继出现，随后被第三方安全情报平台监测并曝光。LiteLLM作为一款被广泛使用的AI模型调用SDK，其历史总下载量超过4.8亿次，覆盖了众多企业和开源项目。

攻击手法与影响范围分析

恶意代码的功能令人警惕。首先，它会系统性地窃取受害系统的各类敏感数据，包括系统环境变量、SSH密钥、AWS/Azure云服务凭据、Kubernetes/Git/Docker/数据库配置、SSL证书私钥以及加密货币钱包配置等。窃取的数据会通过RSA加密后外传到攻击者服务器。此外，攻击者还会在目标系统中植入脚本后门，并利用系统服务实现持久化驻留。这意味着即使初始入侵被发现，攻击者仍可能保持对系统的长期控制能力。

镜像投毒的防御策略

对于容器镜像投毒问题，使用可信的镜像存储服务是关键。以阿里云容器镜像服务为例，其云原生交付链功能可在镜像推送后立即进行恶意脚本扫描，发现风险可立即删除镜像。此外，通过自动化发布流程而非人工操作，可以有效减少凭证暴露的风险。GitHub Action等CI/CD工具可自动完成镜像构建和发布，发布权限可以授予社区合作者，而无需共享镜像仓库的密码凭证。

PyPI包投毒的多层防御体系

值得注意的是，构建环节的安全同样不容忽视。LiteLLM事件中，攻击者正是通过入侵CI/CD流水线引入了被投毒的工具（如Trivy）才窃取了发布凭证。因此，构建环境应与公网隔离，使用托管的构建服务并在专有网络内完成代码拉取、依赖下载和制品产出，确保敏感信息不会在构建过程中暴露。

截至目前，恶意版本LiteLLM 1.82.7和1.82.8已被PyPI官方下架。但此事件给整个开源生态敲响了警钟——供应链攻击已成为现代软件安全最具挑战性的威胁之一。正如Karpathy在社交平台所警示的：「像这样的供应链攻击基本上是现代软件中最令人恐惧的事情。」

如有侵权，请联系删除。