BlockBeats 消息,3 月 25 日,据慢雾科技首席信息安全官 23pds 披露,月下載量高達 9700 萬次的 Python AI 網關庫 LiteLLM 遭遇 PyPI 供應鏈攻擊,攻擊者通過 pip install litellm 指令即可在用戶設備上竊取敏感資訊。可竊取的敏感數據包括:SSH 密鑰、雲服務憑證(AWS / GCP / Azure)、Kubernetes 配置文件、Git 憑證、環境變數中的 API 密鑰、Shell 歷史記錄、加密貨幣錢包資訊及資料庫密碼等。
