PyPI 40萬星項(xiàng)目遭投毒：30萬次下載背后的供應(yīng)鏈暗戰(zhàn)

一個(gè)被40,000名開發(fā)者標(biāo)星、累計(jì)30,000次代碼提交的開源工具，在48小時(shí)內(nèi)變成了大規(guī)模數(shù)據(jù)收割機(jī)。LiteLLM——這個(gè)讓AI模型調(diào)用變得像換臺(tái)電視頻道一樣簡(jiǎn)單的Python庫，上周被攻擊者植入了名為"TeamPCP Cloud Stealer"的竊密木馬。

安全公司Endor Labs的分析師拆解了攻擊鏈條：惡意代碼分三階段執(zhí)行，先收割SSH密鑰、云令牌、Kubernetes密鑰和加密貨幣錢包，再嘗試橫向滲透集群，最后建立持久化后門。整個(gè)過程中，開發(fā)者看到的只是一個(gè)常規(guī)的版本更新提示。

攻擊路徑：從漏洞掃描器到AI中間件

BleepingComputer的溯源報(bào)告顯示，這次入侵的入口并非LiteLLM本身。攻擊者TeamPCP此前已攻破Aqua Security的Trivy漏洞掃描器，并順勢(shì)污染了該公司的Docker鏡像以及Checkmarx的KICS項(xiàng)目。

供應(yīng)鏈攻擊的可怕之處在于：你信任的"安檢設(shè)備"，本身就是被操控的特洛伊木馬。

Trivy作為云原生安全領(lǐng)域的明星工具，被大量CI/CD流水線集成。當(dāng)開發(fā)者用Trivy掃描代碼時(shí)，攻擊者已悄然拿到了通往LiteLLM維護(hù)者賬戶的鑰匙。這種"借道殺毒軟件傳播病毒"的手法，讓傳統(tǒng)的信任邊界徹底失效。

被推送的兩個(gè)惡意版本1.82.7和1.82.8在PyPI（Python包索引）上存活了數(shù)小時(shí)。雖然具體下載量難以精確統(tǒng)計(jì)，但多方信源指向一個(gè)數(shù)字：可能高達(dá)500,000次。考慮到LiteLLM的定位是"AI模型統(tǒng)一調(diào)用層"，它的用戶畫像高度集中——正是那些手握云基礎(chǔ)設(shè)施權(quán)限、頻繁操作多模型API的技術(shù)團(tuán)隊(duì)。

為什么是LiteLLM？攻擊者的精準(zhǔn)算計(jì)

LiteLLM解決了一個(gè)真實(shí)的痛點(diǎn)：OpenAI、Anthropic、Google的API格式各異，切換成本極高。它用一層輕量封裝讓開發(fā)者可以用同一套代碼調(diào)用所有主流模型，這種"中間件"屬性使其天然成為數(shù)據(jù)流的匯聚點(diǎn)。

攻擊者看中的正是這個(gè)位置。一個(gè)被植入后門的LiteLLM，相當(dāng)于在開發(fā)者與所有AI服務(wù)商之間架設(shè)了透明的竊聽通道。環(huán)境變量中的API密鑰、配置文件里的云憑證、甚至本地調(diào)試時(shí)留下的臨時(shí)令牌——所有流經(jīng)此處的敏感信息都可能被批量打包上傳。

Endor Labs的技術(shù)報(bào)告披露了一個(gè)細(xì)節(jié)：惡意載荷會(huì)專門搜尋.env文件和Kubernetes密鑰。這意味著攻擊目標(biāo)明確指向生產(chǎn)環(huán)境，而非個(gè)人開發(fā)者的本地玩具項(xiàng)目。

開源供應(yīng)鏈的"安檢悖論"

這次事件暴露了一個(gè)結(jié)構(gòu)性困境：我們用來檢測(cè)漏洞的工具，恰恰成為漏洞傳播的載體。Trivy、KICS、LiteLLM都是各自領(lǐng)域的優(yōu)質(zhì)開源項(xiàng)目，它們的組合本應(yīng)是安全最佳實(shí)踐，卻在攻擊者的鏈條中串聯(lián)成了災(zāi)難。

PyPI作為Python生態(tài)的中央倉庫，其安全機(jī)制再次受到質(zhì)疑。惡意版本1.82.7和1.82.8并非立即被發(fā)現(xiàn)，而是依賴社區(qū)安全研究者的主動(dòng)嗅探。對(duì)于日均下載量動(dòng)輒百萬的熱門包，這種"事后滅火"模式的響應(yīng)窗口正在變得越來越危險(xiǎn)。

LiteLLM維護(hù)團(tuán)隊(duì)在事件曝光后迅速發(fā)布了清理版本，并建議所有1.82.7-1.82.8用戶輪換全部憑證。但憑證輪換的成本并不對(duì)稱——對(duì)個(gè)人開發(fā)者是幾小時(shí)的麻煩，對(duì)企業(yè)可能是跨部門協(xié)調(diào)的數(shù)周工程。

更值得玩味的是攻擊者的命名。"TeamPCP"這個(gè)代號(hào)在之前的Aqua Security和Checkmarx入侵中同樣出現(xiàn)，表明這是一個(gè)持續(xù)運(yùn)營(yíng)、有明確品牌意識(shí)的攻擊組織。他們甚至給竊密工具起了產(chǎn)品化的名字"TeamPCP Cloud Stealer"，附帶持久化腳本和技術(shù)文檔——這種"專業(yè)化"本身，就是供應(yīng)鏈攻擊產(chǎn)業(yè)化的縮影。

目前尚無公開信息表明TeamPCP的身份歸屬或動(dòng)機(jī)。被竊數(shù)據(jù)的去向、是否有特定行業(yè)被針對(duì)性滲透，這些關(guān)鍵問題仍懸而未決。LiteLLM的GitHub倉庫已恢復(fù)常規(guī)更新節(jié)奏，但那次48小時(shí)的"靜默投毒"，會(huì)在多少企業(yè)的安全審計(jì)報(bào)告里留下未閉合的條目？