LiteLLM PyPI包遭供应链攻击：1.82.7/1.82.8版本含恶意代码的实时响应实录

2024年6月，PyPI 上的开源项目 LiteLLM 的 1.82.7 和 1.82.8 版本被发现植入恶意代码。攻击者通过劫持维护者账户或依赖供应链漏洞上传了含后门的轮子包（wheel），其中 setup.py 被篡改以执行远程代码执行（RCE）逻辑，例如从 hxxps[:]//malicious[.]xyz/payload 下载并执行 Python 脚本。事件曝光后，社区迅速响应：PyPI 已下架相关版本；作者 Taranjeet Singh 在 GitHub 和 HN 实时更新处置进展；用户被紧急建议升级至已修复的 1.82.9 版本，并检查本地环境是否存在异常网络连接。此次事件凸显了开源项目维护者身份管理与 CI/CD 安全审计的紧迫性。