BTC $62,592.33 -2.38%
ETH $1,775.46 -2.53%
BNB $568.27 -2.13%
XRP $1.07 -2.49%
SOL $75.81 -2.07%
TRX $0.3260 -1.49%
DOGE $0.0720 -2.15%
ADA $0.1588 -3.40%
BCH $238.06 -2.90%
LINK $7.94 -1.44%
HYPE $64.01 -5.32%
AAVE $95.33 -3.30%
SUI $0.7282 -2.03%
XLM $0.1832 -2.51%
ZEC $508.59 -4.05%
BTC $62,592.33 -2.38%
ETH $1,775.46 -2.53%
BNB $568.27 -2.13%
XRP $1.07 -2.49%
SOL $75.81 -2.07%
TRX $0.3260 -1.49%
DOGE $0.0720 -2.15%
ADA $0.1588 -3.40%
BCH $238.06 -2.90%
LINK $7.94 -1.44%
HYPE $64.01 -5.32%
AAVE $95.33 -3.30%
SUI $0.7282 -2.03%
XLM $0.1832 -2.51%
ZEC $508.59 -4.05%

litellm 遭遇 PyPI 供应链攻击,简单安装即可窃取 SSH 密钥等全部敏感凭据

2026-03-25 08:13:52
收藏

ChainCatcher 消息,Andrej Karpathy 在 X 平台发文表示,litellm 遭遇 PyPI 供应链攻击,仅需执行 pip install litellm 即可窃取 SSH 密钥、AWS/GCP/Azure 凭据、Kubernetes 配置、git 凭据、环境变量、加密钱包、SSL 私钥、CI/CD 密钥及数据库密码。

litellm 每月下载量达 9700 万次,且风险会扩散至所有依赖 litellm 的项目,例如 dspy。被植入恶意代码的版本上线时间不到约 1 小时,因攻击代码存在缺陷导致 Callum McMahon 的机器内存耗尽崩溃而被发现。Andrej Karpathy 表示,供应链攻击是现代软件中最具威胁的问题,每次安装依赖项都可能在依赖树深处引入被篡改的软件包,他因此越来越倾向于减少依赖,转而使用 LLM 直接实现简单功能。

app_icon
ChainCatcher 与创新者共建Web3世界