-
-
Karpathy紧急发声:日下载340万次的LiteLLM被投毒,黑客一个bug意外暴露危机
-
-
Karpathy紧急发声:日下载340万次的LiteLLM被投毒,黑客一个bug意外暴露危机
最近,一场悄然发生的“供应链”安全事故,可能已经波及了全球数十万开发者。一个名为 LiteLLM 的热门Python工具包被黑客植入后门,恶意版本虽然存活了不到一天就被下架,但在此期间,大量敏感信息可能已被窃取。
LiteLLM是什么?为什么它很重要?
简单来说,LiteLLM就像一个“万能API适配器”。现在AI大模型层出不穷,有OpenAI的、谷歌的、亚马逊的,每个都有自己的接口。LiteLLM的作用就是把这些接口统一起来,让开发者只需要学会一套“语言”,就能调用所有主流大模型。
正因如此,LiteLLM非常受欢迎,每天有超过340万次的下载量,GitHub上有4万多颗星,很多知名的AI工具都把它作为“零部件”来使用。很多开发者可能根本没直接安装它,但不知不觉中,它已经被其他工具“顺手”带进了自己的电脑或服务器里。
发生了什么?一次教科书级的“套娃”攻击
根据安全公司的披露,3月24日,一个名为 TeamPCP 的黑客组织成功入侵了LiteLLM项目,并向Python官方软件库PyPI推送了两个带毒版本:1.82.7 和 1.82.8。
这起事件之所以被称为“教科书级”攻击,是因为它展示了现代软件供应链攻击的典型模式:层层递进,环环相扣。
黑客的作案手法很有层次:
第一步:偷钥匙
黑客首先攻破了一个叫Trivy的漏洞扫描工具(这也是个热门的安全工具)。通过这次攻击,他们窃取到了大量“钥匙”,其中就包括LiteLLM项目上传软件包的密钥。这相当于拿到了LiteLLM“仓库”的门禁卡。
第二步:投毒
拿到门禁卡后,黑客堂而皇之地将恶意代码打包进LiteLLM的1.82.7和1.82.8两个版本中,并上传到了官方仓库。这两个版本在几个小时后就因被发现而被下架,但潜在影响已经产生。
第三步:自动引爆
更“阴险”的是恶意代码的触发方式。它没有要求开发者去运行什么特定指令,而是利用了Python的一个特性。一旦你安装了这个带毒版本,恶意代码就会像“病毒”一样,在你每次启动Python环境时自动运行。这意味着,无论你是否有意使用LiteLLM,只要你打开电脑,它就可能已经在后台偷偷“干活”了。
恶意代码会做什么?堪称“信息收割机”
那么,这个后台运行的恶意代码到底在忙些什么?简单来说,它就是个“信息收割机”,主要干三件事:
疯狂收集:它会自动扫描你的电脑,窃取各种敏感信息。包括但不限于:
-“钥匙串”:访问云服务(如亚马逊AWS、微软Azure)的密钥、SSH密钥(相当于服务器登录密码)、数据库密码。
-“保险箱”:加密货币钱包文件。
-“记事本”:包含各类账号密码的配置文件(如.env文件)。
-“地图”:如果是服务器环境,它还会收集系统信息,了解当前环境的“布局”。
横向扩散:如果它发现自己身处Kubernetes(一种流行的容器管理平台)这类服务器集群中,它会尝试利用窃取到的“钥匙”,在集群内的每一台服务器上都部署一个“特权间谍”,进行大规模扩散。
远程操控:最后,它会把所有收集到的信息打包加密,发送到黑客控制的服务器(一个伪装成liteLLM的域名)。同时,它还会在你的电脑上安装一个“长期后门”,让黑客在未来可以随时连接你的设备,执行更多恶意指令。
如何发现的?多亏黑客自己写了个“Bug”
这次事件能如此快地被发现,过程颇有些戏剧性。一位开发者在用代码编辑器时,发现自己电脑的内存被迅速耗尽。经过排查,发现是LiteLLM的恶意代码触发了一个无限循环,不断创建新的进程,把电脑撑“爆”了。
这个Bug导致电脑卡顿、死机,才让开发者起了疑心。知名AI科学家Andrej Karpathy在社交媒体上评论道:“如果攻击者没有在写恶意代码时犯这个Bug,这个投毒可能好几天甚至好几周都不会被发现。”
如果你是开发者,或者你的团队使用Python进行开发,请立即检查你的环境:
1. 自查版本:在命令行中输入 `pip show litellm`,查看显示的版本号。如果版本是 1.82.7 或 1.82.8,说明你可能中招了。1.82.6及之前的版本是安全的。
2. 立即行动:如果不幸安装了这两个版本,最安全的做法是假设所有在你这台电脑上的密码、密钥、凭证都已泄露。请立即:
更改密码:登录各大云服务、数据库、GitHub等平台,更换所有相关密码和API密钥。
检查痕迹:查看是否存在可疑的进程或系统服务(例如名为“sysmon”的服务)。
审查网络:检查是否有数据被发送到 `models.litellm[.]cloud` 或 `checkmarx[.]zone` 这两个可疑域名。
这起事件并非孤例,而是近期一系列类似攻击中的最新一环。攻击者TeamPCP似乎正在有组织地对各类安全工具和开源项目进行渗透,其目的和野心令人担忧。正如安全专家所说:“这就像一场‘雪崩’,一次小小的入侵,通过环环相扣的软件供应链,最终引发了整个生态系统的巨大危机。”
对于普通人而言,这起事件再次提醒我们:在数字化时代,一个不起眼的软件包背后,可能连接着一条极其复杂的信任链条。而链条上任何一个环节的脆弱,都可能引发意想不到的连锁反应。
本文为资讯编译与整理,内容综合自以下公开报道:
BleepingComputer:《Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens》
The Hacker News:《TeamPCP Backdoors LiteLLM Versions 1.82.7–1.82.8 via Trivy CI/CD Compromise》
传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
