一、安全事件突发 3月24日凌晨,Python包索引PyPI出现异常版本更新。开发者社区核查发现,litellm库的1.82.8版本未在GitHub官方仓库同步发布,却被上传至PyPI,并包含名为“litellm_init.pth”的恶意文件。该文件利用Python解释器的自动执行机制,可在无需显式调用的情况下触发攻击载荷。 二、攻击手法剖析 技术分析显示,攻击者采用三级渗透方式:先通过.pth文件触发执行链,再启动经过双重编码的恶意脚本。脚本具备全盘扫描能力,可窃取SSH密钥、云服务凭证、数据库连接字符串等12类敏感信息,并通过加密通道回传至攻击者服务器。需要注意的是,用户即便未直接安装litellm,也可能因dspy等依赖项间接引入该风险版本。 三、影响范围评估 litellm是大模型开发中常用的中间件,日均下载量超过5万次,被Cursor智能编辑器等50余个主流工具列为默认依赖。开源安全基金会初步评估称,全球至少30万个开发项目可能面临数据泄露风险。特斯拉AI总监安德烈·卡帕西也在社交媒体提醒,此次事件暴露出软件依赖树过深带来的供应链隐患。 四、应急处置方案 国家计算机网络应急技术处理协调中心建议采取以下措施:立即回退至1.7.0以下的安全版本;全面排查环境变量与密钥文件是否泄露;启用PyPI的双因素认证(2FA)。国内主要代码托管平台已启动专项扫描,华为云等企业也同步更新威胁情报库。 五、行业安全启示 业内认为,这是继2023年Log4j事件后影响较大的供应链攻击案例之一。专家指出,在开源组件渗透率已达78%的背景下,应建立“白名单+行为监测”的双重防护机制。工信部对应的人士透露,面向关键基础设施领域的《开源软件安全管理条例》已进入立法调研阶段。
开源提升了协作效率,也放大了“一处失守、处处承压”的系统性风险;此次事件再次提醒,安全不是开发流程中的附加项,而应贯穿依赖选择、构建发布、运行监测和凭据管理。看清依赖链、管住关键凭据、盯紧异常行为,才能在快速迭代与稳定运行之间守住底线。