热门Python库LiteLLM遭供应链攻击 疑被植入后门窃取凭证
开源Python库LiteLLM被黑客组织TeamPCP篡改,恶意版本1.82.7和1.82.8在PyPI平台发布,用于窃取用户敏感数据。该库日下载量超340万次,本月累计下载量达9500万次,广泛用于连接多个大语言模型服务。安全机构Endor Labs发现,恶意版本部署了信息窃取程序,可收集凭证、授权令牌等。目前恶意版本已被移除,官方推荐1.82.6为安全版本。受影响用户被建议立即轮换所有密钥和凭证,并检查系统中的持久化文件及网络流量。