慢霧:LiteLLM 遭 PyPI 供應鏈攻擊,加密錢包及雲端憑證等敏感資訊面臨外洩風險
11
2
深潮 TechFlow 訊息,3 月 25 日,根據慢霧科技首席資訊安全長 23pds 揭露,月下載量高達 9,700 萬次的 Python AI 閘道庫 LiteLLM 遭遇 PyPI 供應鏈攻擊,攻擊者透過 pip install litellm 指令即可在使用者裝置上竊取敏感資訊。 可竊取的敏感資料包括:SSH 金鑰、雲端服務憑證(AWS / GCP / Azure)、Kubernetes 設定檔、Git 憑證、環境變數中的 API 金鑰、Shell 歷史記錄、加密貨幣錢包資訊及資料庫密碼等。
來源:
