有点恐怖,搞 Agent 开发的同学恐怕都用过这玩意儿,赶紧看看你开发的软件是不是中招了!
今天这个事真的是又吓人又离谱,堪称开源圈教科书级的供应链投毒,搞不好你电脑 / 服务器已经中招了都不知道!
litellm 是著名的大模型 api 集成工具,
说白了就是个能统一调各家大模型 API 的神器,不用你挨个适配不同厂商的接口,巨方便。它有多火?GitHub 上 4 万多星,一个月下载量快 1 个亿!重点是,哪怕你从来没手动 pip 装过它,你用的那些 AI 插件、工具链、开源项目,大概率背地里都把它当依赖装了,等于你不知不觉就在风险里了。
这次攻击最狠的地方,真的刷新认知:只要你装上了带毒版本,不用写一行代码、不用主动 import 调用它,只要你开 Python 进程,恶意代码自动执行!真正的装上就中招,无差别打击!
给你们说下它有多缺德:恶意代码一运行,直接扫光你机器里所有值钱的家底 ------SSH 密钥、AWS / 阿里云 / 腾讯云这些云平台的凭证、K8s 集群密钥、数据库账号密码、环境变量里的敏感信息,甚至连加密货币钱包都给你扒得一干二净。偷完直接加密打包,发给黑客的服务器。要是检测到你用的是 K8s 集群,它直接横向扩散,在每个节点都埋雷,整个集群直接给你霍霍完。
最搞笑也最万幸的是,这波攻击能被及时发现,全靠黑客自己写了个低级 bug!有个开发者用 Cursor 编辑器里的 MCP 插件,这插件间接依赖了带毒的 litellm,结果恶意文件一运行,疯狂开子进程,直接形成了死循环 fork 炸弹,当场把电脑内存干爆、直接死机。就这一下,才让这波本来能悄咪咪潜伏好几天、甚至好几周的攻击,直接提前暴露。AI 圈大佬 Karpathy 都吐槽,要是没这个失误,到时候不知道多少公司、多少开发者的底裤都被偷没了。
更吓人的还在后面,这根本不是单次投毒,是连环炸!这波是黑客组织 TeamPCP 搞的事,他们 3 月 19 号先把业内常用的漏洞扫描工具 Trivy 给攻陷了,而 litellm 的官方发布流程里,正好用了这个 Trivy 做安全扫描。结果就是:本该防漏洞的工具,成了黑客的跳板,直接顺走了 litellm 的 PyPI 官方发布令牌,光明正大把带毒的版本传到了官方仓库里。3 月 24 号当天,10:39 发了带毒的 1.82.7,10:52 又发了更狠的 1.82.8,中间就隔了 13 分钟,防不胜防。
更离谱的是黑客的嚣张程度:有社区成员在 GitHub 提 issue 预警这事,黑客只用了 102 秒,就用 73 个盗来的账号刷了 88 条垃圾评论,直接把预警信息淹了,甚至还盗了项目维护者的账号,直接把 issue 给关了。最后社区没办法,只能另开新的预警帖,还转到 Hacker News 上才把消息扩散开。
现在!立刻!马上!打开你的终端,执行这行命令排查:pip show litellm
版本是 1.82.6 及之前的,暂时是安全的
只要是 1.82.7、1.82.8 这两个版本,别犹豫,立刻卸载!
重点中的重点:只要你装过这两个恶意版本,直接默认你环境里所有的密钥、凭证、账号密码全泄露了!赶紧全量轮换!云平台、服务器、数据库、Git 所有密码全换!千万别抱侥幸心理!
最后真的感慨一句,现在搞开发,装个依赖都跟开盲盒一样。Karpathy 借这事也说,供应链攻击真的是现代软件最可怕的威胁,你永远不知道你装的依赖,在依赖树的深处藏着什么雷。他现在都宁愿用大模型自己写简单功能的代码,都不想随便装外部依赖了。
搞开发的朋友赶紧转发给身边的同事,紧急排查!别等中招了才后悔!