LiteLLM在PyPI上的1.82.7和1.82.8版本遭受供应链攻击,恶意代码会收集SSH密钥、云凭证等敏感信息。由于恶意软件存在bug,还导致了指数级fork bomb使系统崩溃。攻击者可能完全控制了维护者账户,目前受感染版本已从PyPI下架。
背景
LiteLLM是一个流行的统一多LLM API的Python库,因此成为供应链攻击的高价值目标。随着攻击者越来越多地针对广泛使用的开源软件包,PyPI供应链攻击已变得日益普遍。
- 来源
- Lobsters
- 发布时间
- 2026年3月24日 23:58
- 评分
- 8.0 / 10