黑客在每次运行时偷偷将盗取加密钱包的代码嵌入一个流行的人工智能工具

LiteLLM 的一次被毒化的发布，将一次普通的 Python 安装变成了一个加密感知的窃密者：每次 Python 启动时，它都会搜索钱包、Solana 验证者材料以及云凭证。

在 3 月 24 日 10:39 UTC 到 16:00 UTC 之间，一名已进入维护者账户的攻击者向 PyPI 发布了 LiteLLM 的两个恶意版本：1.82.7 和 1.82.8。

LiteLLM 将自己宣传为对 100 多家大型语言模型提供商的统一接口，这一定位使其天然地处在充满凭证的开发环境中。PyPI Stats 仅在上个月就记录了 96,083,740 次下载。

这两个构建带来的风险程度不同。1.82.7 版本需要直接导入 litellm.proxy 才能激活其载荷；而 1.82.8 则会在 Python 安装中植入一个 .pth 文件（litellm_init.pth）。

Python 自带文档证实，.pth 文件中的可执行行会在每次 Python 启动时运行，因此 1.82.8 在完全不需要任何导入的情况下也会执行。任何安装了它的机器，都将在下一次启动 Python 时立刻运行被篡改的代码。

FutureSearch 估计在 46 分钟内有 46,996 次下载，其中 1.82.8 占了 32,464 次。

此外，它还统计到 2,337 个依赖 LiteLLM 的 PyPI 包，其中 88% 在攻击发生时允许落入被篡改的版本范围。

LiteLLM 自己的事件页面警告：任何在攻击窗口内，其依赖树通过未固定（unpinned）的传递约束将 LiteLLM 拉入的人，都应将其环境视为可能已暴露。

DSPy 团队确认它有一个 LiteLLM 约束：“superior or equal to 1.64.0”，并警告在窗口期内进行新安装可能解析到了被毒化的构建。

用来追猎加密

SafeDep 对载荷的逆向工程使加密定向变得十分明确。

恶意软件会搜索比特币钱包配置文件以及 wallet*.dat 文件、以太坊密钥库目录，以及位于 ~/.config/solana 下的 Solana 配置文件。

SafeDep 表示，收集器对 Solana 特意“开了小灶”，体现为对验证者密钥对、投票账号密钥以及 Anchor 部署目录的定向搜索。

Solana 的开发者文档将默认 CLI 密钥对路径设置为 ~/.config/solana/id.json。Anza 的验证者文档描述了与验证者运行相关的三个权威文件，并指出：一旦窃取了被授权的 withdrawer（提取授权者），攻击者就能完全控制验证者的操作和奖励。

Anza 也提醒：提取密钥不应当直接放在验证者机器本身上。

SafeDep 表示，载荷会在跨命名空间的范围内窃取 SSH 密钥、环境变量、云凭证以及 Kubernetes secrets。它在发现有效的 AWS 凭证后，会查询 AWS Secrets Manager 和 SSM Parameter Store 以获取更多信息。

它还在 kube-system 中创建了特权的 node-setup-* pods，并通过 sysmon.py 和一个 systemd unit 安装持久化机制。

对于加密团队而言，叠加后的风险沿着特定方向放大。如果某个 infostealer 在同一台主机上收集到钱包文件以及口令、部署密钥（deploy secret）、CI token 或集群凭证，那么就可能将一次凭证事件转化为钱包资金被掏空、恶意合约部署，或签名者被攻陷。

相关阅读

Curve Finance TVL 在 Vyper 漏洞利用后跌破 10 亿美元

在遭受攻击后，Curve 的 CRV 代币波动性变得极高，引发了对“连锁感染”的担忧。

7 月 31, 2023 · Oluwapelumi Adejumo

恶意软件正是拼装出了那一组合工件。

目标工件	示例路径 / 文件	为什么重要	潜在后果
比特币钱包文件	wallet*.dat、钱包配置文件	可能暴露钱包材料	钱包被盗风险
以太坊密钥库	~/.ethereum/keystore	若与其他密钥配对，可能暴露签名者材料	签名者被攻陷 / 部署滥用
Solana CLI 密钥对	~/.config/solana/id.json	默认开发者密钥路径	钱包或部署权威暴露
Solana 验证者权威文件	validator keypair、vote-account keys、authorized withdrawer	关系到验证者操作和奖励的核心	验证者权威被攻陷
Anchor 部署目录	Anchor 相关的部署文件	可能暴露部署工作流密钥	恶意合约部署
SSH 密钥	~/.ssh/*	打开对代码仓库、服务器、堡垒机的访问	横向移动
云凭证	AWS/GCP/Azure 的环境或配置	将访问范围扩展到本地主机之外	secret-store 访问 / 基础设施接管
Kubernetes secrets	全集群范围的 secret 收割	打开控制平面与工作负载	命名空间被攻陷 / 横向扩散

该攻击属于更大规模的活动的一部分：LiteLLM 的事件说明将此次窃取与早先的 Trivy 事件关联起来，并且 Datadog 和 Snyk 都将 LiteLLM 描述为一个多日 TeamPCP 链条中的后续阶段——在到达 PyPI 之前，它经过了多个开发者生态系统。

在整个活动中，定向逻辑保持一致：一种充满密钥的基础设施工具会更快地获取与钱包相关的材料。

本次事件可能的结果

多头情景取决于检测速度，以及目前尚未出现公开确认的加密盗窃。

PyPI 在 3 月 24 日大约 11:25 UTC 时将这两个版本隔离。LiteLLM 移除了恶意构建，轮换了维护者凭证，并联系了 Mandiant。PyPI 当前显示 1.82.6 为最新可见版本。

如果防御者轮换了密钥、审计了 litellm_init.pth，并在对手将外泄工件转化为主动利用之前就把暴露的主机视为“已作废”（burned），那么损害就会被控制在仅凭证暴露的范围内。

该事件也加速了对已在增长中的最佳实践的采用。PyPI 的 Trusted Publishing 用短期的、基于 OIDC 的身份认证，替代了长期存在的手动 API tokens；截至 2025 年 11 月，约有 45,000 个项目已经采用。

CryptoSlate 每日简报

每日信号，零噪音。

每个清晨用一次紧凑阅读送达市场驱动的头条与背景信息。

5 分钟精读 10 万+ 读者

电子邮件地址

获取简报

免费。不会发送垃圾邮件。随时可取消订阅。

哎呀，看起来出了问题。请再试一次。

你已订阅。欢迎登船。

LiteLLM 的事件涉及对发布凭证的滥用，使得“更换（切换）”一事更难被轻易否定。

对加密团队而言，该事件带来了对更严格角色分离的紧迫性：冷的验证者提取者（withdrawers）必须完全离线、隔离部署签名者、使用短期的云凭证，并锁定依赖图。

DSPy 团队的快速固定（pinning）以及 LiteLLM 自身的事后指导，都指向应将“封闭式（hermetic）构建”作为补救标准。

时间线绘出了 3 月 24 日 10:39 UTC 到 16:00 UTC 期间的 LiteLLM 被攻陷窗口，并标注在 46 分钟内有 46,996 次直接下载，以及后续波及范围为 2,337 个依赖 PyPI 包，其中 88% 允许落入被攻陷的版本范围。

空头情景取决于滞后。SafeDep 记录了一种载荷：它在被检测之前就外泄了密钥、在 Kubernetes 集群内扩散，并安装了持久化。

在 3 月 24 日，如果某名操作员在构建运行器（build runner）或与集群相连的环境中安装了被毒化的依赖，那么他可能要数周后才能发现该暴露的完整范围。被外泄的 API keys、部署凭证以及钱包文件不会因为检测而过期。对手可以将它们持有下来，并在之后再行动。

Sonatype 将恶意可用性评估为“至少两小时”；LiteLLM 自己的指导覆盖了截至 16:00 UTC 的安装；而 FutureSearch 的隔离时间戳为 11:25 UTC。

团队不能仅依赖时间戳过滤来判断暴露情况，因为这些数据并不能给出清晰的“全都安全（all-clear）”。

在这一类别中，最危险的情形聚焦于共享的操作员环境。一家加密交易所、验证者运营方、桥接团队或 RPC 提供商如果在构建运行器中安装了被毒化的传递依赖，那么它就可能暴露整个控制平面。

跨命名空间的 Kubernetes secret 转储，以及在 kube-system 命名空间中创建特权 pods，都是为横向移动而设计的控制平面访问工具。

如果这种横向移动到达了某个环境：在可被访问到的机器上存在热（hot）或半热（semi-hot）的验证者材料，那么后果可能从单个凭证被盗，扩展到验证者权威被攻陷。

一张五阶段流程图追踪攻击路径：从被毒化的 LiteLLM 传递安装开始，通过自动 Python 启动执行、秘密收割，再到 Kubernetes 控制平面扩张，最终可能导致的加密相关结果。

PyPI 的隔离与 LiteLLM 的事件响应结束了主动分发窗口。

在 3 月 24 日安装或升级了 LiteLLM 的团队，或运行时传递依赖未固定且解析到 1.82.7 或 1.82.8 的团队，应当将其环境视为完全已被攻陷。

其中一些操作包括：轮换所有从已暴露主机上可访问的密钥、审计 litellm_init.pth、撤销并重新签发云凭证，并验证这些主机上无法访问任何验证者权威材料。

LiteLLM 事件记录了一条攻击者路径：该攻击者确切知道要找哪些链下文件，拥有一个每月下载量达到数千万级的投递机制，并且在任何人把构建从分发渠道移除之前就已建立了持久化机制。

用于移动与守护加密资产的链下机制，直接位于载荷的搜索路径中。

本文提及

比特币 以太坊 Solana

发布于

精选 黑客 犯罪 Solana Web3

作者 查看主页 →

Gino Matos

记者 • CryptoSlate

Gino Matos 是一名法学院毕业生，也是拥有六年加密行业经验的资深记者。他的专长主要聚焦于巴西区块链生态系统，以及去中心化金融（DeFi）的发展方向。

@pelicamatos LinkedIn

编辑 查看主页 →

Liam ‘Akiba’ Wright

主编 • CryptoSlate

他也被称为 “Akiba”。Liam Wright 是 CryptoSlate 的主编以及 SlateCast 栏目主持人。他认为去中心化技术有潜力带来广泛的积极改变。

@akibablade LinkedIn

相关背景

相关报道

切换类别以查看更多内容，或获得更广泛的背景。

Solana 最新新闻 Hacks 头部类别 Press Releases 新闻通讯

监管

SEC 通过更新后的加密规则大幅降低了比特币、XRP 和 Solana 的 KYC 压力

SEC 通过新的加密分类重新定义了加密版图，在设定边界的同时，也为隐私创新留出了空间。

3 周前

代币化

华尔街尽管其 memecoin 口碑不佳，仍在押注 Solana

Ondo 的 24/5 发行与赎回结构让证券留在经纪商-交易商体系中，而 Solana 负责转移层。

3 周前

Tether 仍握有更多现金，但 Circle 的 USDC 正在转移更多加密资金

稳定币 · 3 周前

XRP Ledger 刚刚在 RWA 代币化价值上反超 Solana，持有人数量也揭示了原因

代币化 · 2 个月前

可怕的 Solana 漏洞刚揭示：黑客是多么容易就能让“永远在线”的网络停摆

分析 · 2 个月前

Solana 对 Starknet 的公开攻击揭示：数十亿美元的“雇佣军（mercenary）”交易量正在以人为方式推高网络估值

DeFi · 3 个月前

黑客

Circle 的 USDC 冻结机制在阻止钱包与延迟盗窃响应后面临新的审查

Circle 可以快速冻结 USDC，但批评者称近期案例暴露了不均衡的审查标准以及不断上升的运营风险。

1 天前

黑客

Circle 遭遇围攻：在冻结合法账户数天后，价值 2.3 亿美元的被盗 USDC 流程仍未解除

Drift 漏洞揭示了稳定币发行方在危机中如何执行控制这一方面日益增长的矛盾。

3 天前

为什么加密黑客不会停止，甚至在钱已经消失之后仍会继续

分析 · 2 周前

Treasury 的 40亿亿美元稳定币愿景遭遇现实核验：USD1 脱钩

稳定币 · 1 个月前

周末盗窃揭示漏洞：美国政府 280 亿美元比特币储备的安全性受到威胁

黑客 · 2 个月前

数字版“罗宾汉”机器人从黑客那里偷钱，但不一定会把钱还给穷人

黑客 · 2 个月前

CoinRabbit 将 XRP 借贷利率以及 300+ 资产的借贷利率降低

随着借贷利率现在从 11.95% 起步，CoinRabbit 正在将更低成本的加密资产抵押借贷扩展到 XRP 以及 300+ 支持的资产。

3 小时前

ADI Chain 宣布 ADI Predictstreet 作为 2026 年 FIFA 世界杯预测市场合作伙伴

由 ADI Chain 支持，ADI Predictstreet 将在足球最大的舞台亮相，成为 2026 年 FIFA 世界杯官方预测市场合作伙伴。

3 天前

BTCC 交易所被任命为阿根廷国家队官方区域合作伙伴

PR · 4 天前

Encrypt 将来到 Solana，为加密资本市场提供支持

PR · 6 天前

Ika 将来到 Solana，为无桥资本市场提供支持

PR · 6 天前

TxFlow L1 主网启动标志着多应用链上金融的新阶段

PR · 6 天前

免责声明

我们的作者观点仅代表其个人，不代表 CryptoSlate 的观点。你在 CryptoSlate 上读到的任何信息都不应被视为投资建议，CryptoSlate 也不为本文中可能被提及或链接到的任何项目背书。购买和交易加密货币应被视为高风险行为。在采取与本文内容相关的任何行动之前，请自行进行尽职调查。最后，如果你在交易加密货币时亏钱，CryptoSlate 概不承担责任。更多信息，请参阅我们公司的免责声明。