月下载近亿的 Python 库被下毒！

安全厂商快速预警后，官方紧急撤下毒包并推送修复版本。但对于已安装用户， 密钥泄露已成事实 ，必须立 刻更换所有 API Key、云凭证与登录密码，排查服务器异常访问日志。 这是典型的开源供应链投毒，再次敲响警钟： 源码安全 ≠ 安装包安全 ，生产环境切勿盲目追新，固定版本、 私有源、依赖扫描缺一不可。 （参考： LiteLLM 官方、火绒，本文经由 AI 优化） 3 月 24 日，Python 生态遭遇重磅袭击： 热门 AI 工具库 LiteLLM 在官方 PyPI 渠道被投毒 ，成为 TeamPCP 黑客组织新一轮供应链攻击的目标，波及全球海量开发者与企业服务。 LiteLLM 用于统一调度各类大模型 API，月下载量超 9500 万，是 AI 开发的基础设施。攻击者通过泄露的发布 凭证绕过代码审核，直接向 PyPI 推送恶意安装包， GitHub 源码无异常，pip 安装即中招 ，隐蔽性极强。 问题版本为 1.82.7、1.82.8 ，前者导入触发窃密，后者更狠，只要启动 Python 就自动运行恶意代码。它会收集 环境变量中的密钥、密码与服务器配置，外传到控制服务器，并尝试在云原生环境中扩散，实现持久控 ...