BlockBeats 消息,3 月 25 日,据慢雾科技首席信息安全官 23pds 披露,月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击,攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括:SSH 密钥、云服务凭据(AWS / GCP / Azure)、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shell 历史记录、加密货币钱包信息及数据库密码等。
