慢霧示警：LiteLLM 遭 PyPI 攻擊，加密錢包與 API 金鑰外洩

慢霧（SlowMist）首席資訊安全長 23pds 於 3 月 25 日披露，月下載量達 9,700 萬次的 Python AI 網關庫 LiteLLM 遭受 PyPI 供應鏈攻擊，受損版本 1.82.7 及 1.82.8 在平台上至少存在兩小時。攻擊者透過植入多層惡意程式，可竊取包括加密貨幣錢包資訊等。

LiteLLM 成為供應鏈攻擊高價值目標的結構性原因

LiteLLM 在 AI 技術堆疊中扮演統一接口角色，支持調用 OpenAI、Anthropic、Google 等主要服務商的模型，其架構直接位於應用程式與多個 AI 服務提供商之間，使其得以存取大量 API 金鑰、環境變數與敏感配置資料。

攻破此類中間層套件，攻擊者無需直接入侵上游服務，即可攔截橫跨本地開發環境、 CI/CD 管線與雲端基礎設施的敏感憑證。目前調查人員正評估此次攻擊是否與威脅組織 TeamPCP 及 LAPSUS$ 有關，歸因調查仍在進行中。事件最初由 GitHub 用戶公開報告，並由 Futuresearch 外部研究人員進一步分析。

三層惡意載荷運作機制

受損版本中嵌入的惡意程式碼採用三層架構，透過混淆後的 Base64 編碼 Python 程式實現：

第一層（數據外洩層）：收集本地敏感資料後以 AES-256-CBC 演算法加密，使用硬編碼 RSA 公鑰加密會話金鑰，打包為 tpcp.tar.gz 後外洩至攻擊者控制的遠端端點

第二層（偵察與憑證收集層）：枚舉系統資訊、環境變數，並系統性提取 SSH 金鑰、Git 憑證、AWS/GCP/Azure 雲端憑證、Kubernetes 設定檔、加密貨幣錢包資料及 CI/CD 配置，部分情況下惡意程式會主動嘗試使用已竊取憑證進行 AWS API 查詢或 Kubernetes 操作

第三層（持久化與遠端控制層）：以 sysmon.py 寫入磁碟並設定為系統服務，每 50 分鐘向攻擊者控制的端點輪詢一次，使攻擊者可持續推送新惡意功能至已感染系統

惡意通訊使用的域名包括 models[.]litellm[.]cloud 及 checkmarx[.]zone。

受影響組織的緩解建議

安裝或運行過受損 LiteLLM 版本（1.82.7 或 1.82.8）的組織，應將相關系統視為已被入侵。由於惡意程式設計具備持久化能力並可能已部署額外有效載荷，僅移除套件並不足夠。

建議立即採取以下行動：輪換所有可能暴露的憑證（包括 AWS/GCP/Azure 存取金鑰、 SSH 金鑰及 API 金鑰）；審查日誌中是否存在與 models[.]litellm[.]cloud 或 checkmarx[.]zone 的可疑出站連線；清除 tpcp.tar.gz、/tmp/pglog、/tmp/.pg_state 等已知惡意檔案及 sysmon.py 相關服務；在條件允許的情況下，從已知乾淨狀態重建受影響系統。

常見問題

哪些 LiteLLM 版本受此次供應鏈攻擊影響？

受損版本為 LiteLLM 1.82.7 及 1.82.8，惡意程式碼分別嵌入於 proxy_server.py（兩版本均受影響）及 litellm_init.pth（版本 1.82.8），建議用戶立即確認所使用版本並升級至最新安全版本。

此次攻擊可能竊取哪些類型的敏感資訊？

惡意程式的資料收集範圍涵蓋 SSH 金鑰、AWS/GCP/Azure 雲端憑證、Kubernetes 設定檔與服務帳戶令牌、Git 憑證、環境變數中的 API 金鑰、Shell 歷史記錄、加密貨幣錢包資料及資料庫密碼，攻擊面橫跨本地開發環境、 CI/CD 管線與雲端基礎設施。

如何確認系統是否已被入侵？

可檢查以下入侵指標：系統中是否存在 tpcp.tar.gz 歸檔檔案、/tmp/pglog 或 /tmp/.pg_state 臨時檔案，以及與 sysmon.py 關聯的持久化服務；同時審查出站網路連線記錄，確認是否存在與上述惡意域名的通訊。