LiteLLM 發生供應鏈攻擊，遭植入竊取憑證的惡意程式碼

LiteLLM 是一個用於存取多種大型語言模型的開源介面，每月下載量高達 9,700 萬次。由於發生供應鏈攻擊，LiteLLM 兩個版本已從 PyPI（Python Package Index）下架，它們被植入了竊取憑證的惡意程式碼。

LiteLLM v1.82.7 與 LiteLLM v1.82.8 已被移除，原因是其元件檔案 litellm_init.pth 被發現會竊取憑證的程式碼。

維護 LiteLLM 的 Berri AI 執行長 Krrish Dholakia 表示，這次入侵似乎來自專案 CI/CD 管道中使用的 Trivy 工具。

Trivy 是由 Aqua Security 維護的漏洞掃描工具，許多專案將它作為安全機制的一部分。根據 Aqua Security 團隊的說法，這次惡意行動從今年 2 月下旬開始，攻擊者利用 Trivy 在 GitHub Actions 環境中的設定錯誤，竊取一個具有高權限的存取憑證，進而操控 CI/CD 流程。

Trivy 在 3 月 19 日遭到破壞，被稱為 TeamPCP 的攻擊者利用竊取的憑證發布 Trivy 惡意版本 v0.69.4；隨後 3 月 22 日，又將惡意版本 v0.69.5 與 v0.69.6 以 DockerHub 映像的形式發布。

攻擊者的手法不只是上傳惡意版本這麼簡單，「攻擊者透過修改與 trivy-action（GitHub Action 腳本）相關的版本標籤，將惡意程式碼注入組織原本正在執行的工作流程中。由於許多 CI/CD 管道依賴版本標籤，而非固定提交，因此這些流程在底層程式碼已被更動的情況下，持續執行且毫無異常跡象」，Aqua Security 團隊表示。

Krrish Dholakia 則指出，LiteLLM 的 PYPI_PUBLISH 憑證被傳送到 Trivy，進而遭攻擊者取得，並被用來推送新的 LiteLLM 程式碼。

「我們已刪除所有 PyPI 發布憑證，帳戶本身有啟用雙重驗證，因此問題出在憑證。我們正在檢視帳戶安全性，考慮如何進一步強化（例如使用 JWT 憑證的可信發布機制、改用不同的 PyPI 帳戶等）」，Krrish Dholakia 表示。

Python Packaging Authority（PyPA）已經針對 LiteLLM 事件發出安全公告，「任何曾安裝並執行專案的人，應假設 LiteLLM 環境中可取得的所有憑證可能已遭洩露，應立即進行撤銷或輪替處理」，公告寫到。

Software horror: litellm PyPI supply chain attack.

Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database… https://t.co/aKjZJcECFq

— Andrej Karpathy (@karpathy) March 24, 2026