TeamPCP在2026年3月发起供应链攻击,直击PyPI热门AI开发库LiteLLM。该库每天下载量达数百万次,黑客篡改1.82.7和1.82.8两个版本。开发者一安装或更新,恶意软件就启动。链上数据显示,GitGuardian分析发现1705个PyPI包配置自动拉取这些受损LiteLLM作为依赖。dspy月下载500万次,opik 300万次,crawl4ai 140万次。这些热门包安装时会连锁触发恶意执行。组织就算没直接用LiteLLM,也可能通过间接依赖中招。PyPI在发现几小时内移除恶意包,但暴露窗口已足够黑客大肆收割。恶意软件专盯开发者机器上的明文秘密:SSH密钥,AWS、Azure、GCP云凭证,Docker配置,全盘扫荡。The Hacker News报道,这种攻击把笔记本变成企业最肥沃的凭证田。开发者工作站本就是凭证温床,创建、测试、缓存、复制秘密,这里一网打尽。
开发者机器为何这么诱人。根据GitGuardian对6943台受Shai-Hulud攻击机器的剖析,挖出33185个独特秘密,其中3760个仍有效。每个活跃秘密平均散布在同一机器的8个位置。59%的受害系统竟是CI/CD流水线,而非个人笔记本。黑客爱钻供应链空子,通过依赖包、插件或假更新潜入。进门后,他们像安全团队扫漏洞一样,系统搜刮.env文件、shell历史、IDE设置、缓存令牌、构建产物,甚至AI代理的内存存档。LiteLLM恶意软件得逞,就因这些秘密明文堆积。项目树里混着密钥,本该本地用的.env文件进了代码库。调试输出、终端复制、临时脚本,到处是残渣。AI代理、CLI工具、IDE扩展,全要凭证。路径固定:~/.aws/credentials,~/.config/gh/config.yml,代理目录。黑客脚本一跑,凭证打包外传。过去Shai-Hulud证明规模化可行,这次LiteLLM放大效应更狠。企业忽略工作站,就等于开门揖盗。
防护开发者端成燃眉之急。GitGuardian建议把ggshield伸到机器层面,扫描本地仓库、文件系统、dotfiles、构建输出、AI工具缓存。先搞清暴露面,别当后事。pre-commit钩子拦新泄露,顺带清旧货。检测别止步,重在补救:凭证推向中心化vault,设轮换周期、访问策略、监控。AI代理别喂秘密,内存文件如SOUL.md、MEMORY.md定期扫。砍掉整类秘密,用WebAuthn换密码,OIDC联邦替云密钥。短期用短暂凭证,SPIFFE自动换SVID。蜜罐令牌撒在热区,早警报。LiteLLM案敲醒人,工作站是特权交汇点,黑客比安全团队更懂。企业不拿它当生产系统管,下波供应链炸弹就炸自己脚。