LiteLLM 1.82.8 供应链攻击：恶意文件窃取用户凭证

近日，PyPI 上发布的 LiteLLM v1.82.8 包被植入恶意代码，隐藏在 litellm_init.pth 文件中，该文件采用 Base64 编码。即使用户未执行 import litellm，仅安装该包即可触发恶意行为。此前的 1.82.7 版本也存在类似漏洞，但其恶意代码位于 proxy/proxy_server.py，需导入该文件才能生效。该恶意文件可窃取大量敏感信息，包括 SSH 密钥、Git 凭证、AWS、Kubernetes、Azure、Docker、npm、Vault、Netrc 等配置文件内容。此次攻击可能源于对 Trivy 工具的利用，Trivy 是一种用于 CI/CD 的安全扫描工具，LiteLLM 在其代码中使用了该工具。攻击者可能通过 Trivy 漏洞窃取 PyPI 用户凭证，进而发布恶意包。PyPI 已将 litellm 包隔离，以防止进一步扩散。