3 月 24 日Python 生态遭遇重磅袭击热门 AI 工具库 LiteLLM 在官方 PyPI 渠道被投毒成为 TeamPCP 黑客组织新一轮供应链攻击的目标波及全球海量开发者与企业服务。LiteLLM 用于统一调度各类大模型 API月下载量超 9500 万是 AI 开发的基础设施。攻击者通过泄露的发布凭证绕过代码审核直接向 PyPI 推送恶意安装包GitHub 源码无异常pip 安装即中招隐蔽性极强。问题版本为1.82.7、1.82.8前者导入触发窃密后者更狠只要启动 Python 就自动运行恶意代码。它会收集环境变量中的密钥、密码与服务器配置外传到控制服务器并尝试在云原生环境中扩散实现持久控制。你以为在正常开发黑客早已把家底看光。安全厂商快速预警后官方紧急撤下毒包并推送修复版本。但对于已安装用户密钥泄露已成事实必须立刻更换所有 API Key、云凭证与登录密码排查服务器异常访问日志。这是典型的开源供应链投毒再次敲响警钟源码安全 ≠ 安装包安全生产环境切勿盲目追新固定版本、私有源、依赖扫描缺一不可。参考LiteLLM 官方、火绒本文经由 AI 优化