慢雾首席信息安全官 23pds 发推表示,月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击,攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括:SSH 密钥、云服务凭据(AWS / GCP / Azure)、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shell 历史记录、加密货币钱包信息及数据库密码等。
慢雾首席信息安全官 23pds 警告目前 LiteLLM 漏洞攻击者已盗取约 300GB 数据,并窃取约 50 万个凭证。他建议所有加密货币开发人员立即进行自查,尽快轮换相关密钥与凭证,核查日志、访问记录及敏感数据暴露情况,避免出现类似 Trust Wallet 事件的严重损失。
