Post #4835

PyPI 库中的 LiteLLM 遭到入侵植入恶意代码 #安全 LiteLLM 项目维护者账号被盗，黑客向 PyPI 软件库发布了两个嵌入恶意代码的版本 v1.82.7 和 v1.82.8。恶意代码旨在窃取凭证，包括 SSH 密钥、云服务凭证、加密钱包等。任何安装了恶意版本的用户需要立即检查是否遭到入侵。恶意文件 litellm_init.pth 会在每次 Python 进程启动时自动执行。项目维护者称账号被盗源于刚刚爆出的 trivy 漏洞，恶意版本都已从 PyPI 上移除，所有维护者帐户都已更改。 https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/ https://github.com/BerriAI/litellm/issues/24512 https://news.ycombinator.com/item?id=47501426