值得留意的是,黑客很有可能是经由过程 AI 编写的恶意代码,恶意代码里存在轮回履行 BUG,假如不是这个 BUG 导致办事器资本耗尽,可能也没人发明 LiteLLM 被投毒。
2026 年 3 月 19 日:开源马脚扫描器 Trivy 被黑客劫持然后宣布带毒版本
2026 年 3 月 23 日:黑客攻下 Checkmarx KICS
2026 年 3 月 24 日:黑客应用被污染的 Trivy 从 LiteLLM CI/CD 管道中窃取 PyPI token,然后宣布带毒版本
恶意负载的三连击:
谍报收割:恶意负载履行后会遍历 SSH 密钥、.env 文件、云凭证、k8s 设备、Git 凭证、各类其他敏感凭证。
加密别传:用硬编码的 RSA-4096 公钥 + AES-256-CBC 加密数据,上传到黑客控制的 models.litellm.cloud。
横向移动:若检测到 k8s 办事账户令牌,则恶意负载还会应用令牌安装后门实现横向传播和持久化。
此次进击的潜在伤害极大年夜:
此次供给链进击时光线:
小我和中小企业:黑客拿到 SSH 密钥和云凭证后可以直接接收账号,甚至植入勒索软件加密数据进行勒索。
企业级 AI 团队:LiteLLM 作为代理层持有海量 API KEY,进击者可以捏造请求窃取数据甚至向投毒下流模型。
kubernetes 集群:特权 Pod 和宿主机挂载形成完全接收,黑客可以窃取全部数据并将集群变成僵尸收集。
值得留意的是本次供给链进击泉源开源马脚扫描器 Trivy 就是第二次被黑,在 2026 年 2 月底该对象已经被黑客攻下,当时的清理工作可能并不完全,导致黑客仍然有权限可以操作,不过这还须要持续查询拜访。
LiteLLM 恶意版本上线时光约为 3 小时,按照 LiteLLM 日均 340 万次下载来计算,已经安装带毒版本的实例仍然有 42 万个,潜在安然风险已经无法估计。
连锁反响:被盗凭证还可以用于下次进击,形成恶性轮回,最终导致更多项目被进击、被窃取更多半据。
TeamPCP 黑客团队:
LiteLLM 本身是 AI 生态体系的全能翻译器,可以对接数百个大年夜型说话模型的 API,所以下流大年夜量对象都将 LiteLLM 作为核心依附,这也导致下流对象用户也同样受到进击。
从今朝已知消息来看,提议此次进击的黑客团队名为 TeamPCP,已经有存眷收集安然的团队接洽 TeamPCP,这个黑客团队泄漏今朝已经拿到的数据跨越 300GB,不过因为拿到的数据量比较大年夜今朝还在对这些数据进行处理和清洗。
发表评论 取消回复