PyPI倉庫1.82.8版本埋雷：3行代碼偷走你的SSH密鑰和加

3月24日，Python包索引（PyPI）上被下載超過500萬次的LiteLLM庫遭遇供應鏈攻擊。版本1.82.8被植入惡意代碼，安裝后會自動竊取SSH密鑰、云服務憑證、加密貨幣錢包等敏感信息。任何在24小時內執行過pip install litellm的開發者，都可能已經中招。

這不是普通的依賴混淆或名稱搶注。攻擊者拿到了合法包的發布權限，直接向官方倉庫推送了帶后門的版本。安全研究員FutureSearch的分析顯示，惡意代碼藏在一個.pth文件里——這是Python的"自動啟動腳本"，每次Python進程啟動時都會靜默執行。

攻擊手法：把后門塞進Python的"開機啟動項"

Python的.pth文件機制原本用于簡化模塊導入路徑。把它類比成Windows的注冊表啟動項：你以為是正常配置，實際是每次開機都跑的木馬。

攻擊者在litellm_init.pth里嵌入了3行代碼。文件體積小、內容看起來像配置，靜態掃描很難觸發告警。但一旦Python環境加載了這個包，.pth里的代碼立刻運行，開始遍歷用戶目錄：

目標清單包括：SSH私鑰（~/.ssh/）、AWS/ Azure/GCP憑證文件、Kubernetes配置、Docker認證信息、以及各類加密錢包的密鑰文件。收集完成后，數據被外傳到攻擊者控制的服務器。

HN用戶vuji的評論很精準：「another creative way to steal」（又一種偷東西的創意手法）。供應鏈攻擊的可怕之處就在這里——你信任官方倉庫，官方倉庫信任上傳者，上傳者的賬號或CI/CD管道被攻破，惡意代碼就順著這條信任鏈流進你的生產環境。

為什么這次特別危險

LiteLLM是AI開發者的基礎設施組件。它把OpenAI、Anthropic、Azure等幾十家大模型API統一封裝成同一個接口，省去了切換供應商時重寫代碼的麻煩。GitHub顯示該庫被超過2.4萬個項目依賴，其中不乏企業級應用。

AI工程師的工作流自帶高風險特征：本地存放大量云平臺密鑰（為了調用API），頻繁操作加密資產（很多團隊用加密貨幣支付算力費用），且習慣用pip install快速試錯。這次攻擊像是為這個目標人群量身定制的。

PyPI在發現問題后已下架1.82.8版本，但緩存鏡像和私有倉庫可能仍有殘留。如果你或你的團隊在3月24日15:00 UTC之后安裝過LiteLLM，需要立即檢查site-packages/litellm/目錄下是否存在litellm_init.pth文件，并輪換所有可能暴露的憑證。

供應鏈攻擊正在變成"精準爆破"

2023年PyPI強制推行雙因素認證（2FA），但攻擊者顯然找到了繞過路徑——可能是釣魚、可能是令牌泄露、也可能是CI/CD管道的配置疏漏。無論入口在哪，結果都一樣：合法包的合法版本，成了惡意代碼的投遞渠道。

企業常用的"鎖定版本號"策略在這次攻擊面前部分失效。1.82.8本身是一個正常迭代版本，修復了若干bug，吸引用戶主動升級。攻擊者沒有發布明顯可疑的litellm-9999.0.0，而是把后門塞進看起來合理的更新里。

HN討論區有開發者提議PyPI應該對.pth文件做額外審查，或者至少要求這類"自動執行"機制在包頁面顯著標注。但平臺方的安全投入始終追不上攻擊者的創意——當防御成本由社區分攤、攻擊收益由個體攫取時，這種不對稱會持續下去。

你現在會檢查自己Python環境的site-packages目錄嗎？還是說，已經習慣了把pip install當成不用思考的肌肉記憶？