黑客在每次运行时偷偷将盗取加密钱包的代码嵌入一个流行的人工智能工具

LiteLLM 的一次“中毒式发布”把一次常规的 Python 安装变成了一种加密感知的秘密窃取程序：它会在每次启动 Python 时搜索钱包、Solana 验证者材料以及云凭据。

在 3 月 24 日 10:39 UTC 至 16:00 UTC 之间，攻击者在获得维护者账号访问权限后，向 PyPI 发布了两个恶意版本的 LiteLLM：1.82.7 和 1.82.8。

LiteLLM 将自己营销为一个统一接口，可覆盖 100 多家大型语言模型提供商；这一定位使其天生就会出现在“凭据丰富”的开发者环境中。仅根据 PyPI Stats，上个月下载量就达到了 96,083,740 次。

这两个构建携带的风险水平不同。1.82.7 版本需要直接导入 litellm.proxy 才能激活其载荷，而 1.82.8 则会在 Python 安装中植入一个 .pth 文件（litellm_init.pth）。

Python 自身的文档确认，.pth 文件中的可执行行会在每次 Python 启动时运行，因此 1.82.8 在完全不需要任何导入的情况下就能执行。任何安装了它的机器，都会在 Python 下一次启动时立刻运行被篡改的代码。

FutureSearch 估计在 46 分钟内下载了 46,996 次，其中 1.82.8 占了 32,464 次。

此外，它还统计了 2,337 个依赖 LiteLLM 的 PyPI 包，其中 88% 在当时的攻击窗口内允许落入受感染的版本范围。

LiteLLM 自己的事件页面警告说：任何依赖树在该窗口内通过未钉死的传递约束把 LiteLLM 拉入的用户，都应当把自己的环境视为可能已暴露。

DSPy 团队确认它有一个 LiteLLM 约束为“1.64.0 以上或等于”，并警告说窗口期间进行的新安装可能会解析到中毒版本。

专为追踪加密而构建

SafeDep 对载荷的逆向工程让加密定向变得十分明确。

恶意软件会在 ~/.config/solana 下搜索比特币钱包配置文件以及 wallet*.dat 文件、以太坊密钥库目录，以及 Solana 配置文件。

SafeDep 表示采集器对 Solana 给予了特别待遇，并展示了针对验证者密钥对的定向搜索、投票账号密钥，以及 Anchor 部署目录。

Solana 的开发者文档将默认 CLI 密钥对路径设为 ~/.config/solana/id.json。Anza 的验证者文档描述了与验证者运行息息相关的三个权威文件，并指出：如果窃取被授权的 withdrawer（提取方），攻击者就能完全控制验证者的操作与奖励。

Anza 还警告说，withdrawal key（提取密钥）绝不应当直接放在验证者机器本身上。

SafeDep 说该载荷会在不同命名空间中收割 SSH 密钥、环境变量、云凭据以及 Kubernetes secrets。它一旦找到有效的 AWS 凭据，就会向 AWS Secrets Manager 和 SSM Parameter Store 查询更多信息。

它还在 kube-system 中创建了特权的 node-setup-*pods，并通过 sysmon.py 和一个 systemd unit 安装持久化。

对于加密团队而言，复合风险会沿着一个特定方向放大：一个能够在同一台主机上同时收集钱包文件与口令、部署密钥、CI token 或集群凭据的资讯窃取器，可能把“凭据事故”转化为“钱包被掏空”、恶意合约部署，或签名者被攻破。

相关阅读

Curve Finance TVL 在 Vyper 漏洞被利用后跌破 10 亿美元

Curve 的 CRV 代币在遭受攻击后波动极大，引发了对“连锁传播”的担忧。

7 月 31, 2023 · Oluwapelumi Adejumo

这份恶意软件正是把那种组合的痕迹精确拼装在一起。

定向痕迹	示例路径 / 文件	为什么重要	潜在后果
比特币钱包文件	wallet*.dat、钱包配置文件	可能暴露钱包材料	钱包被盗风险
以太坊密钥库	~/.ethereum/keystore	若与其他密钥配对，可能暴露签名者材料	签名者被攻破 / 部署滥用
Solana CLI 密钥对	~/.config/solana/id.json	默认开发者密钥路径	钱包或部署权限暴露
Solana 验证者权威文件	validator keypair、vote-account keys、authorized withdrawer	与验证者操作和奖励密切相关	验证者权威被攻破
Anchor 部署目录	与 Anchor 相关的部署文件	可能暴露部署工作流密钥	恶意合约部署
SSH 密钥	~/.ssh/*	打开对仓库、服务器、堡垒机的访问	横向移动
云凭据	AWS/GCP/Azure 的环境或配置	将访问扩展到本地主机之外	secret-store 访问 / 基础设施接管
Kubernetes secrets	全集群范围的 secret 收割	打开控制平面与工作负载	命名空间被攻破 / 横向扩散

该攻击属于更广泛的行动：因为 LiteLLM 的事件说明把此次受损关联到了更早的 Trivy 事件；Datadog 和 Snyk 都把 LiteLLM 描述为一个多日 TeamPCP 链条中的后续阶段——它在进入 PyPI 之前，已经穿过了多个开发者生态。

此次行动的定向逻辑在整个活动中保持一致：一种“充满密钥”的基础设施工具链能够更快地接触到与钱包相邻的材料。

本次事件的可能结果

多头情景取决于检测速度，以及截至目前尚未有公开确认的加密被盗。

PyPI 在 3 月 24 日约 11:25 UTC 将两个版本隔离。LiteLLM 移除了恶意构建、轮换了维护者凭据，并联系了 Mandiant。目前 PyPI 显示 1.82.6 是最新可见发布。

如果防守方轮换了密钥、审计了 litellm_init.pth，并在对手把泄露的痕迹转化为主动利用之前就把受影响主机视为“已烧毁”（不可再用），那么损害将被限制在凭据暴露层面。

该事件也加速了某些本就正在获得采用的做法：PyPI 的 Trusted Publishing 会用短期的、基于 OIDC 的身份来替代长期存在的手动 API token；截至 2025 年 11 月，大约有 45,000 个项目已经采用了它。

CryptoSlate 每日简报

每日信号，零噪声。

每天早上用一篇紧凑的阅读呈现会推动市场的新闻头条与背景。

5 分钟速览 10 万+ 读者

电子邮件地址

获取简报

免费。无垃圾邮件。随时可退订。

糟了，似乎出现了问题。请再试一次。

你已订阅。欢迎登船。

LiteLLM 的事件涉及对发布凭据的滥用，这使得“改用（切换）”该案更难被轻易否认。

对加密团队而言，该事件带来了更紧迫的需求：加强职责分离——让冷的验证者 withdrawers 完全离线、隔离部署签名者、使用短期云凭据，并锁定依赖关系图。

DSPy 团队的快速钉死（pinning）以及 LiteLLM 自身在事件后的指导，都指向“封闭式构建（hermetic builds）”作为修复标准。

一份时间线绘出了 3 月 24 日 10:39 UTC 至 16:00 UTC 的 LiteLLM 受损窗口：并标注在 46 分钟内有 46,996 次直接下载，以及后续影响范围为 2,337 个依赖 PyPI 包，其中 88% 允许落入受感染的版本范围。

空头情景在于延迟。SafeDep 已记录到一种载荷：它在检测之前就完成了秘密外传、在 Kubernetes 集群内扩散，并安装了持久化。

在 3 月 24 日，有运维人员如果在构建运行器或与集群连接的环境中安装了中毒的依赖，可能要几周之后才会发现暴露的全部范围。被外传的 API keys、部署凭据以及钱包文件不会因为检测发生而过期。对手可以把它们握在手里，随后再行动。

Sonatype 将恶意可用性评为“至少两小时”；LiteLLM 自己的指导覆盖了直到 16:00 UTC 的安装；而 FutureSearch 的隔离时间戳是 11:25 UTC。

团队不能仅依赖时间戳过滤来判断自身暴露情况，因为这些数据并不会给出明确的“全部解除（all-clear）”结论。

在该类别中，最危险的情形围绕共享的运维环境展开。如果加密交易所、验证者运维方、桥接团队或 RPC 提供商在构建运行器中安装了中毒的传递依赖，那么它将暴露整个控制平面。

在 kube-system 命名空间内进行跨命名空间的 Kubernetes secret 转储，以及创建特权 pod，是用于横向移动的控制平面访问工具。

如果这种横向移动触达了这样一个环境：在可达机器上存在热的或半热的验证者材料，那么后果可能从单个凭据被盗一直到验证者权威被攻破。

一张五阶段流程图追踪了攻击路径：从中毒的 LiteLLM 传递安装开始，经由自动的 Python 启动执行、秘密收割，以及 Kubernetes 控制平面扩张，最终可能导致各种加密相关后果。

PyPI 的隔离以及 LiteLLM 的事件响应结束了主动分发窗口。

在 3 月 24 日安装或升级了 LiteLLM 的团队，或运行构建时让未钉死的传递依赖解析到 1.82.7 或 1.82.8 的团队，应当把自己的环境视为已完全被攻破。

一些应对动作包括：轮换所有可从受影响主机访问到的密钥、审计是否存在 litellm_init.pth、撤销并重新签发云凭据，以及确认这些主机上无法访问任何验证者权威材料。

LiteLLM 的事件文档记录了一条攻击者路径：他确切知道要寻找哪些链下文件；他拥有一个交付机制，月下载量可达数千万；并在任何人把这些构建从分发渠道拉走之前，就已建立持久化。

直接把这些在链下流转与保护加密资产的“机械装置”放在了载荷的搜索路径之内。

本文提及

Bitcoin Ethereum Solana

发表于

精选 漏洞利用 犯罪 Solana Web3

作者 查看个人资料 →

Gino Matos

记者 • CryptoSlate

Gino Matos 是法学院毕业生，且是一位在加密行业拥有六年经验的资深记者。他的专长主要聚焦于巴西区块链生态以及去中心化金融（DeFi）方面的发展。

@pelicamatos LinkedIn

编辑 查看个人资料 →

Liam ‘Akiba’ Wright

主编 • CryptoSlate

也被称为“Akiba”，Liam Wright 是 CryptoSlate 的主编兼 SlateCast 节目主持人。他认为去中心化技术具备让广泛群体产生积极改变的潜力。

@akibablade LinkedIn

目录

相关报道

切换分类以查看更多内容或获得更广泛的背景。

Solana 最新新闻      Hacks 顶部分类      Press Releases Newswire  

监管

SEC 以更新后的加密规则大幅降低对 Bitcoin、XRP 和 Solana 的 KYC 压力

SEC 用新的加密分类框架重塑了加密版图：划定边界，并为隐私创新留出空间。

2 周前

代币化

华尔街在 Solana 上推进，尽管其以 memecoin 声誉著称

Ondo 的 24/5 mint 和 redeem 结构让证券仍然由经纪商-交易商处理，而 Solana 则承担转账层。

2 周前

Tether 仍掌握更多现金，但 Circle 的 USDC 现在正带动更多加密资金流动

稳定币 · 3 周前

XRP Ledger 刚在 RWA 代币化价值上反超 Solana，而持有者数量揭示了原因

代币化 · 2 个月前

可怕的 Solana 缺陷刚刚揭示：黑客能轻易让“永远在线”的网络停摆

分析 · 2 个月前

Solana 对 Starknet 的公开攻击揭示：数十亿美元“雇佣军”式成交量正被人为推高网络估值

DeFi · 3 个月前

Hacks

Circle 遭火力全开：在冻结合法账户数天后，出现 2.3 亿美元被盗 USDC 流出

Drift 漏洞揭示了稳定币发行方在危机中执行控制方式的不断加剧的矛盾。

2 小时前

分析

为什么加密漏洞不会结束，并且在钱都没了之后仍在继续

一次加密漏洞可以在几分钟内掏空钱包，但完整损害往往会在数月后才逐步显现。代币继续下跌，金库缩小，招聘冻结生效，而那些在盗窃后仍然存活的项目，依然可能在余波中失去未来。

2 周前

Treasury 的 2 万亿美元稳定币愿景遭遇现实检验：USD1 脱钩

稳定币 · 1 个月前

在周末盗窃暴露缺陷后，美国政府 280 亿美元比特币储备的安全受到威胁

Hacks · 2 个月前

“罗宾汉”数字机器人从黑客那里偷，但不一定会还给穷人

Hacks · 2 个月前

数百个 MetaMask 钱包被掏空：你“更新”之前该检查什么

钱包 · 3 个月前

ADI Chain 宣布 ADI Predictstreet 为 2026 FIFA 世界杯预测市场合作伙伴

由 ADI Chain 支持的 ADI Predictstreet 将在足球最盛大的舞台上亮相，作为 2026 年 FIFA 世界杯官方预测市场合作伙伴。

6 小时前

BTCC 交易所被命名为阿根廷国家队官方区域合作伙伴

BTCC 与阿根廷足球协会合作，并将与 2026 年 FIFA 世界杯连接——把该交易所长期以来的加密存在感与足球界最具成就的国家队之一相结合。

1 天前

Solana 上即将上线 Encrypt，为加密资本市场提供动力

PR · 3 天前

Ika 即将登陆 Solana，为无桥资本市场提供动力

PR · 3 天前

TxFlow L1 主网上线标志着面向多应用链上金融的新阶段

PR · 3 天前

BYDFi 以为期一个月的庆典迎来第 6 周年，致力于可靠性

PR · 3 天前

免责声明

我们的作者观点仅代表其个人，不代表 CryptoSlate 的观点。你在 CryptoSlate 上阅读到的任何信息都不应被视为投资建议；CryptoSlate 也不为本文中可能提及或链接的任何项目背书。买卖和交易加密货币应被视为高风险行为。在采取与本文内容相关的任何行动之前，请自行完成尽职调查。最后，如果你在交易加密货币中亏损，CryptoSlate 不承担任何责任。更多信息，请参阅我们的公司免责声明。