尊敬的金融专区用户,您好!
金融专区安全运营团队监测到,LiteLLM 被披露其存在供应链投毒风险。可导致攻击者窃取系统环境变量、云厂商及 K8s 凭据、SSH 密钥、Git 配置、Shell 历史、SSL 私钥及加密钱包等高度敏感信息。
为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
风险详情
LiteLLM 是一个开源库,旨在简化 LLM 完成和嵌入调用。它集成了 Azure、Anthropic、OpenAI、Cohere 和 Replicate 等多个平台的 API,让用户可以使用一个函数轻松调用它们。LiteLLM 提供了方便的接口和一致的输出格式,使得使用 LLM 模型变得更加简单。它可以用于各种场景,如自然语言处理、文本生成、对话系统等。
据描述,在 LiteLLM 组件 1.82.7 及 1.82.8 版本中,由于攻击者利用 Python 的 .pth 文件启动即执行机制,在 littellm_init.pth 中植入经过多层 Base64 编码的混淆恶意代码,并将恶意代码隐藏于 littellm/proxy/proxy_server.py 文件中,导致 Python 解释器启动时便会静默执行该恶意逻辑,恶意代码通过收集系统环境变量、SSH 密钥、AWS/Azure/GCP 云厂商凭据、K8s/Docker 凭据、Git 配置、shell 历史、SSL 私钥及加密钱包等敏感信息,经 RSA 加密后外传至攻击者控制的服务器 https://models[.]litellm[.]cloud。
注:任何依赖 LiteLLM 的项目都会受到该供应链风险的影响,直接依赖 LiteLLM 的知名框架有(CrewAI、DSPy、Giskard、Google ADK、PydanticAI、Agent Lightning/Hermes-agent 及 LangGraph 等)
风险等级
高风险
影响版本
LiteLLM == 1.82.7
LiteLLM == 1.82.8
litellm (pip) == 1.82.7
litellm (pip) == 1.82.8
安全版本
LiteLLM <= 1.82.6
LiteLLM > 1.82.8
litellm (pip) <= 1.82.6
litellm (pip) > 1.82.8
修复建议
1.使用 pip show litellm 命令查询是否已经安装投毒版本 (1.82.7、1.82.8),如果已安装请及时隔离与清理:
(1) 立即卸载恶意版本:
pip uninstall litellm -y
(2) 清理所有 Python 缓存:
pip cache purge
rm -rf ~/.cache/uv/archive-v0/* # 如使用 uv
find ~/.cache/pip -name "*litellm*" -exec rm -rf {} + 2>/dev/null
(3) 然后使用 pip install litellm==1.82.6 回滚到安全版本
2.可根据 IoC 对潜在的恶意文件进行哈希匹配命中后并清除:
(1) litellm-1.82.8.tar.gz:
SHA256:d39f4e7a218053cce976c91eacf184cf09a6960c731cc9d66d8e1a53406593a5
MD5:bd8e578c425118a50447b1af3ee6fece
(2) litellm-1.82.7.tar.gz:
SHA256:8a2a05fd8bdc329c8a86d2d08229d167500c01ecad06e40477c49fb0096efdea
MD5:85ed77a21b88cae721f369fa6b7bbba3
(3) litellm_init.pth:
SHA256:71e35aef03099cd1f2d6446734273025a163597de93912df321ef118bf135238
MD5:cde4951bee7e28ac8a29d33d34a41ae5
(4) litellm/proxy/proxy_server.py:
SHA256:a0d229be8efcb2f9135e2ad55ba275b76ddcfeb55fa4370e0a522a5bdee0120b
MD5:f5560871f6002982a6a2cc0b3ee739f7
3.可根据 IoC 排查网络环境并阻断与封禁:
(1) 数据外传:
https://models[.]litellm[.]cloud/
(2) C2 控制通道:
https://checkmarx[.]zone/raw
4.立即查杀与清理:
(1) 删除 /.config/sysmon/sysmon.py 与 /.config/systemd/user/sysmon.service
(2) 执行 systemctl --user disable --now sysmon.service
(3) 排查节点上 /root/.config/sysmon 同名文件
(4) 删除 kube-system 中 node-setup-* 的异常 Pod(可通过 kubectl get pods -A | grep “node-setup-” 命令先排查)
5.凭据轮换:
建议及时更换 SSH、云账号 (AWS/GCP/Azure)、K8s、数据库、Webhook、API Keys 等凭据
【备注】:建议您在升级前做好数据备份工作,避免出现意外
参考链接
https://github.com/BerriAI/litellm/issues/24512
腾讯云 金融专区
2026-03-27
