LiteLLM 仓库遭受供应链攻击
LLM 代理工具 LiteLLM 遭受名为 TeamPCP 的威胁行为者发起的供应链攻击。攻击者在 Python 软件包索引 (Python Package Index, PyPI) 发布了包含信息窃取程序的 1.82.7 和 1.82.8 恶意版本,上述版本在暴露约 3 小时后被官方隔离。
攻击者首先利用外泄的个人访问令牌 (Personal Access Token, PAT) ,在开发商 BerriAI 的 GitHub 仓库中推送了恶意的 GitHub Actions 工作流。该工作流不仅收集并加密了项目的所有环境机密,还成功窃取了用于发布软件包的凭证。随后植入的恶意程序试图在后台窃取开发者的 SSH 密钥、云服务凭证、环境变量和加密货币钱包。然而,由于恶意载荷中存在缺陷,程序在运行过程中意外触发了呈指数级衍生进程的派生炸弹 (fork bomb) ,这一异常不仅导致设备卡顿,也直接引起了开发者的警觉并使恶意程序暴露。
在安全事件曝光后,为了阻碍问题的排查与修复,攻击者调动了包含被盗帐号在内的僵尸网络,在相关 GitHub 问题报告 (Issue #24512) 下发布了约 300 条垃圾评论,试图淹没技术讨论,并一度篡改了 BerriAI 的仓库描述。截至目前,相关恶意组件已被全面下架,PyPA 也正式发布了编号为 PYSEC-2026-2 的安全公告。
(综合媒体报道)
LLM 代理工具 LiteLLM 遭受名为 TeamPCP 的威胁行为者发起的供应链攻击。攻击者在 Python 软件包索引 (Python Package Index, PyPI) 发布了包含信息窃取程序的 1.82.7 和 1.82.8 恶意版本,上述版本在暴露约 3 小时后被官方隔离。
攻击者首先利用外泄的个人访问令牌 (Personal Access Token, PAT) ,在开发商 BerriAI 的 GitHub 仓库中推送了恶意的 GitHub Actions 工作流。该工作流不仅收集并加密了项目的所有环境机密,还成功窃取了用于发布软件包的凭证。随后植入的恶意程序试图在后台窃取开发者的 SSH 密钥、云服务凭证、环境变量和加密货币钱包。然而,由于恶意载荷中存在缺陷,程序在运行过程中意外触发了呈指数级衍生进程的派生炸弹 (fork bomb) ,这一异常不仅导致设备卡顿,也直接引起了开发者的警觉并使恶意程序暴露。
在安全事件曝光后,为了阻碍问题的排查与修复,攻击者调动了包含被盗帐号在内的僵尸网络,在相关 GitHub 问题报告 (Issue #24512) 下发布了约 300 条垃圾评论,试图淹没技术讨论,并一度篡改了 BerriAI 的仓库描述。截至目前,相关恶意组件已被全面下架,PyPA 也正式发布了编号为 PYSEC-2026-2 的安全公告。
(综合媒体报道)
