LiteLLM供应链攻击：pip install即可窃取密钥，Karpathy称其最恐怖

事件概述
OpenAI创始成员Andrej Karpathy将AI工具LiteLLM遭遇的供应链攻击称为“现代软件中基本上最恐怖的事”。LiteLLM月下载量达9700万次，其v1.82.7和v1.82.8两个恶意版本已在PyPI下架。

攻击危害
仅执行pip install litellm，恶意代码即可窃取：

• SSH密钥、各类云凭证（AWS/GCP/Azure）
• Kubernetes配置、git凭证、环境变量（含API密钥）
• shell历史记录、加密钱包、SSL私钥
• CI/CD密钥、数据库密码

数据经加密后外传至伪装域名，并尝试在Kubernetes集群中创建特权容器以植入后门。

传染性与发现过程
攻击具有传染性，任何依赖LiteLLM的项目（如pip install dspy）都会连带中招。恶意版本在PyPI上仅存活约1小时，因其自身代码存在bug导致内存崩溃而被开发者发现。

攻击路径与应对
攻击组织TeamPCP于2月底利用LiteLLM的CI/CD管道配置缺陷入侵，窃取PyPI发布令牌后上传恶意版本。维护方已删除所有令牌并计划改进发布机制。PyPA发布安全通告，建议受影响用户立即轮换所有可能泄露的凭证。