每月下载量超过 9500 万次的开源软件库 LiteLLM 在近期的供应链投毒事件中被黑，黑客篡改 1.82.7 和 1.82.8 版添加恶意代码，这些恶意代码会搜索环境中的所有敏感数据回传到黑客服务器。黑客编写的恶意代码还具有横向传播能力，即扫描目标环境和窃取凭证后再利用凭证继续攻陷其他设施，例如大量 k8s 集群就被攻陷，泄露的数据无法估量。

LiteLLM 本身是 AI 生态系统的万能翻译器，可以对接数百个大型语言模型的 API，所以下游大量工具都将 LiteLLM 作为核心依赖，这也导致下游工具用户也同样受到攻击。

值得注意的是，黑客很有可能是通过 AI 编写的恶意代码，恶意代码里存在循环执行 BUG，如果不是这个 BUG 导致服务器资源耗尽，可能也没人发现 LiteLLM 被投毒。

此次供应链攻击时间线：

2026 年 3 月 19 日：开源漏洞扫描器 Trivy 被黑客劫持然后发布带毒版本

2026 年 3 月 23 日：黑客攻陷 Checkmarx KICS

2026 年 3 月 24 日：黑客利用被污染的 Trivy 从 LiteLLM CI/CD 管道中窃取 PyPI token，然后发布带毒版本

恶意负载的三连击：

情报收割：恶意负载执行后会遍历 SSH 密钥、.env 文件、云凭证、k8s 配置、Git 凭证、各种其他敏感凭据。

加密外传：用硬编码的 RSA-4096 公钥 + AES-256-CBC 加密数据，上传到黑客控制的 models.litellm.cloud。

横向移动：若检测到 k8s 服务账户令牌，则恶意负载还会利用令牌安装后门实现横向传播和持久化。

此次攻击的潜在危害极大：

个人和中小企业：黑客拿到 SSH 密钥和云凭证后可以直接接管账号，甚至植入勒索软件加密数据进行勒索。

企业级 AI 团队：LiteLLM 作为代理层持有海量 API KEY，攻击者可以伪造请求窃取数据甚至向投毒下游模型。

kubernetes 集群：特权 Pod 和宿主机挂载形成完整接管，黑客可以窃取全部数据并将集群变成僵尸网络。

连锁反应：被盗凭证还可以用于下次攻击，形成恶性循环，最终导致更多项目被攻击、被窃取更多数据。

值得注意的是本次供应链攻击源头开源漏洞扫描器 Trivy 就是第二次被黑，在 2026 年 2 月底该工具已经被黑客攻陷，当时的清理工作可能并不完整，导致黑客仍然有权限可以操作，不过这还需要持续调查。

LiteLLM 恶意版本上线时间约为 3 小时，按照 LiteLLM 日均 340 万次下载来计算，已经安装带毒版本的实例仍然有 42 万个，潜在安全风险已经无法估量。

TeamPCP 黑客团队：

从目前已知消息来看，发起此次攻击的黑客团队名为 TeamPCP，已经有关注网络安全的团队联系 TeamPCP，这个黑客团队透露目前已经拿到的数据超过 300GB，不过因为拿到的数据量比较大目前还在对这些数据进行处理和清洗。