LiteLLM 骇客投毒事件：50 万凭证外泄、加密钱包恐被盗，如何检查是否中招？

LiteLLM 遭供应链攻击，数百 GB 资料、 50 万个凭证外泄

每日下载量高达 340 万次的 AI 开源套件 LiteLLM，是许多开发者连接多个大型语言模型（LLM）的重要桥梁，近期却成为骇客的目标。卡巴斯基估计，这波攻击导致超过 2 万个程式码储存库暴露于风险中，骇客更声称已窃取数百 GB 的机密资料与超过 50 万个帐户凭证，对全球软体开发与云端环境造成严重冲击。

经过资安专家溯源，发现 LiteLLM 骇客事件的源头，竟是许多企业用来扫描系统漏洞的开源资安工具 Trivy 。

这是一起典型的巢状供应链攻击（Supply Chain Attack），骇客从目标依赖的上游信任工具下手，借此悄悄把恶意程式码夹带进去，宛如在自来水厂的水源中下毒，让所有饮用者不知不觉中招。

LiteLLM 攻击事件全流程：从资安工具到 AI 套件连环爆破

根据资安公司 Snyk 与卡巴斯基分析，LiteLLM 攻击事件早在 2026 年 2 月底就已埋下伏笔。

骇客利用 GitHub 的 CI/CD（一种自动化软体测试与发布的流程）漏洞，窃取了 Trivy 维护人员的存取凭证（Token）。由于凭证未被彻底撤销，骇客在 3 月 19 日成功窜改 Trivy 的发布标签，让自动化流程下载到含有恶意程式码的扫描工具。

随后，骇客利用同样的手法，在 3 月 24 日控制了 LiteLLM 的发布权限，并上传了包含恶意程式码的 1.82.7 与 1.82.8 版本。

这时，开发者 Callum McMahon 在测试 Cursor 编辑器的扩充功能时，系统自动下载了最新版的 LiteLLM，导致他的电脑资源瞬间被耗尽。

他透过 AI 助理 Debug 后发现，恶意程式码中存在一个瑕疵，意外触发了分支炸弹（Fork Bomb）意即一种会不断自我复制，并耗尽电脑记忆体与运算资源的恶意行为，才让这起隐蔽的攻击提前曝光。

根据 Snyk 的分析，这次攻击的恶意程式码分为三个阶段：

1. 资料收集：程式会全面搜刮受害电脑中的敏感资讯，包含 SSH 远端连线金钥、云端服务（AWS 、 GCP）存取凭证，以及比特币、以太坊等加密货币钱包的种子码。
2. 加密与外泄：收集到的资料会被加密打包，并偷偷传送至骇客预先注册的伪造网域。
3. 持续潜伏与横向移动：恶意程式会在系统内植入后门，若侦测到 Kubernetes，一种用于自动化部署与管理容器化应用程式的开源平台环境，还会尝试将恶意程式扩散至整个丛集的所有节点。

LiteLLM 与 Trivy 供应链攻击时间轴

你的钱包与凭证安全吗？检测与补救措施指南

若你在 2026 年 3 月 24 日之后曾安装或更新 LiteLLM 套件，或者你的自动化开发环境有使用到 Trivy 扫描工具，你的系统极有可能已经受害。

根据 Callum McMahon 与 Snyk 的建议，防护与补救的首要任务是确认受害范围，并彻底阻断骇客的后门。

卡巴斯基建议，为了增强 GitHub Actions 的安全性，可以使用以下几款开源工具：

• zizmor：这是一款用于静态分析，与检测 GitHub Actions 设定错误的工具。
• gato 与 Gato-X：这两个版本的工具，主要用来协助识别结构上存在漏洞的自动化流程管道（pipelines）。
• allstar：由开源安全基金会（OpenSSF）所开发的 GitHub 应用程式，专门用来在 GitHub 的组织和储存库中，设定并强制执行安全策略。

LiteLLM 攻击背后，骇客早已盯上养龙虾热潮

根据 Snyk 与关注资安领域的工程师 Huli 的分析，这起案件的幕后黑手是一个名为 TeamPCP 的骇客集团，这个集团自 2025 年 12 月起就开始活跃，并频繁透过 Telegram 等通讯软体建立频道进行活动。

Huli 指出，骇客在攻击过程中，使用了一个名为 hackerbot-claw 的自动化攻击元件。这个名称巧妙地跟上了近期在 AI 圈中非常热门的养龙虾（OpenClaw）AI 代理人风潮。

这群骇客精准打击了包含 Trivy 与 LiteLLM 在内，拥有高权限且被广泛使用的基础建设工具，还懂得利用最新的 AI 趋势来扩大攻击规模，展现出极具组织性与针对性的犯罪手法。

随著 AI 工具的普及，开发流程中的权限控管与供应链安全，已成为所有企业不可忽视的风险。

像是近年的知名开发者的 NPM 帐号遭骇，让 JavaScript 套件被植入恶意程式，导致多数 DApp 与钱包恐中招；或是 Anthropic 揭露中国骇客透过 Claude Code 发动史上首起大型 AI 自动化网路间谍行动等案例，都应引以为戒。