阅读: 11
通告编号:NS-2026-0006
| TAG: | LiteLLM、TeamPCP、供应链攻击 |
| 版本: | 1.0 |
1 事件概述
在如今以人工智能为核心驱动的技术演变中,AI模型网关已成为企业技术架构的关键基础设施。LiteLLM是一个主流的开源AI模型网关,可通过统一的接口来简化对上百个不同供应商大型语言模型的调用与管理,具备成本跟踪、安全防护、负载均衡和日志记录等功能。
参考链接:
https://github.com/BerriAI/litellm/issues/24518
https://github.com/pypa/advisory-database/blob/main/vulns/litellm/PYSEC-2026-2.yaml
2 攻击组织
TeamPCP 是一个从2025年至2026年初活跃的网络犯罪组织,也被称为 DeadCatx3、PCPcat 和 ShellForce 等,该组织主要针对全球云原生基础设施发起大规模自动化攻击,并涉及供应链投毒等高级威胁活动。
TeamPCP大规模构建分布式代理和扫描基础设施,通过窃取的凭证入侵服务器以窃取数据、部署勒索软件、进行勒索活动并挖掘加密货币,拥有成熟的工具集,如 proxy.sh(用于环境识别和载荷部署)、scanner.py(漏洞扫描)、kube.py(Kubernetes 相关操作)等。
近期主要攻击事件
2026-03-19:入侵Aqua Security的Trivy漏洞扫描器,发布恶意版本v0.69.4
2026-03-23:攻击Checkmarx KICS GitHub Action,通过强制推送标签到恶意提交
2026-03-24:对LiteLLM进行供应链投毒,发布恶意版本1.82.7和1.82.8
2026-03-25:部署针对伊朗的Kubernetes擦除器,攻击意图从窃密向破坏性升级
3 影响范围
- LiteLLM = 1.82.7
- LiteLLM = 1.82.8
包括但不限于以下引用LiteLLM的应用也受影响:
DSPy(微软AI编程框架)
MLflow(机器学习生命周期管理)
CrewAI(多Agent编排框架)
OpenHands(AI软件开发助手)
Prodigy(NLP标注工具)
注:LiteLLM使用十分广泛,月下载量约9500万次,日下载量约340万次,受影响的依赖包达两千多个。恶意版本于北京时间3月24日18时许发布,存活时间约3小时,已知攻击者本次可能窃取了约 300GB数据,包含高达50万个凭证。
不受影响版本
- LiteLLM <= 1.82.6
4 事件分析
3月19日:TeamPCP入侵Trivy安全扫描工具
3月23日:TeamPCP攻陷Checkmarx KICS
3月24日:10:39 UTC 恶意版本 1.82.7 发布到PyPI
3月24日:10:52 UTC 恶意版本 1.82.8 发布到PyPI
3月24日:13:52 UTC PyPI下架恶意版本
3月25日:社区广泛警告,绿盟科技发布事件预警
此次TeamPCP针对LiteLLM的供应链投毒并非直接攻破其代码库,而是由利用GitHub Actions中pull_request_target触发器的配置缺陷,通过向依赖的安全扫描工具Trivy提交恶意拉取请求,诱导工作流在拥有高权限的基础仓库中执行攻击者植入的代码,从而窃取了具有最高发布权限的PYPI_PUBLISH令牌;攻击者借此令牌绕过了所有代码审查与CI自动化测试流程,直接向PyPI仓库推送了无对应Git提交记录的恶意版本(1.82.7/1.82.8),演绎了“利用安全工具制造不安全”的高阶供应链攻击模式,暴露了现代软件交付链中因过度信任第三方集成与权限配置不当而引发的结构性脆弱。
攻击路径流程图:
恶意版本行为
在1.82.7版本中,恶意代码被植入”litellm/proxy/proxy_server.py”文件,可能在wheel构建过程中或之后被注入。该代码设计为模块导入时自动执行,任何导入”litellm.proxy.proxy_server”的进程都会触发攻击载荷,无需用户交互。
1.82.8版本则采用更激进的攻击方式——在wheel根目录添加恶意”litellm_init.pth”文件,使得该逻辑会在环境内所有Python进程启动时自动执行,而不仅限于litellm导入时。且该.pth启动器会通过subprocess.Popen生成子Python进程,使攻击载荷能在后台运行。
攻击载荷解码后会释放凭证窃取工具和持久化后门。当存在Kubernetes服务账户令牌时,凭证窃取工具会枚举集群所有节点并在每个节点部署特权Pod,这些Pod随后会通过chroot进入主机文件系统,在每个节点上安装作为systemd用户服务的持久化后门。
该systemd服务配置为启动Python脚本(~/.config/sysmon/sysmon.py)——与Trivy入侵事件中使用的名称相同——该脚本每50分钟访问”checkmarx[.]zone/raw”获取下一阶段载荷URL。若URL中包含youtube[.]com,脚本将终止执行,这是目前已观测事件中常见的终止开关模式。
5 风险排查
相关用户可根据下列步骤进行排查:
2. 如果为恶意版本,立即降至安全版本 pip install litellm==1.82.6 #
3. 或在requirements.txt中固定版本 echo “litellm==1.82.6” >> requirements.txt #
4. 检查是否存在恶意.pth文件 find $(python -c “import site; print(site.getsitepackages()[0])”) -name “litellm_init.pth” -delete #
5. 验证安装 python -c “import litellm; print(litellm.__version__)”
若确认环境中存在恶意包,应立即下线受感染资产,对主机进行物理或逻辑隔离。
查找杀掉名为 /tmp/pglog 的可疑进程,并删除 /tmp/pglog 和 /tmp/.pg_state 文件,强制清除持久化组件;攻击者可能在本地的pip缓存中留下了恶意Wheel文件,可执行pip cache purge或手动删除 ~/.cache/uv 等目录,防止回滚后因缓存机制再次中毒。
云环境用户可检查Kubernetes集群是否存在恶意Pod
在全命名空间下执行:kubectl get pods -A | grep -E “node-setup|host-provisioner”
如有发现,需立即删除并逐节点审查:ls -la /root/.config/sysmon/ 2>/dev/null
6 总结与建议
本次投毒事件不同于一次常规的网络攻击,而是对供应链安全的行业警示;在AI生态高速发展的时代下,软件供应链风险不再局限于单一技术栈或平台,逐渐演变为一场针对整个IT生态系统的全域挑战,相关单位务须构建健全的供应链安全治理体系应对此类新型潜在威胁。
建议受影响的用户可采取下列措施进行处理:
1、撤销并轮换所有的SSH密钥、云账号密钥、API Token、k8s令牌、数据库密码等凭证;
2、封禁并排查恶意IoC;
3、实施最小权限原则,限制CI/CD工具的访问范围、并定期轮换凭据;
4、搭建内部私有PyPI镜像,安全扫描验证签名后再同步;
5、建立常态化开源组件安全审计机制,增加发布前的多重审批流程;
6、订阅PyPI安全警报、GitHub Security Advisories等进行供应链监控。
最后的宣传彩蛋:
绿盟科技CERT日常监控国内外上百家主流软件厂商、数十家安全论坛与漏洞社区,结合每日应急安全事件和私域运营进行情报生产,并根据情报评级、PoC披露情况、产品使用流行度、实际利用价值、网空资产测绘数据等多个维度进行综合评估,及时推送最新重大安全漏洞情况及安全事件给客户,整合公司的研究、产品、服务等能力,针对突发性威胁制定可落地的安全防护方案,在威胁事件爆发之前协助客户及时发现问题,采取相关防护措施,保护用户信息系统安全,提升企业应对威胁的能力。
凭据泄露监测服务:
近年来,攻击者经常会通过购买或各种手段获取目标用户的登录凭据,进而突破系统入口开展后续攻击,目前主要被用于加密勒索等高威胁场景。为帮助客户能够快速识别自身敏感凭据的泄露风险,绿盟科技特此推出凭据泄露监测服务。此服务以SaaS方式提供,通过7×24小时持续监测数十万数据泄露渠道,结合AI驱动的数据关联分析,当检测到与客户相关的凭据泄露风险后,及时向客户进行预警。
注:对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]咨询交流。
绿盟科技应急响应中心(NSFOCUS CERT)致力于为客户提供及时、专业、高效的情报预警与应急服务,针对高危漏洞与安全事件进行快速响应,提供可落地的解决方案。
END
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。