腾讯网

立即检查你的Python库!LiteLLM被投毒,Karpathy警告,马斯克关注

编辑|冷猫这是一件极其严肃的软件安全事件。今天,Karpathy 发长推文警告全部开发者注意,GitHub 超过 4 万星,月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

PyPI遭投毒!LiteLLM用户Python启动就中招,个人凭证秒泄露

最新上传的LiteLLMPython 版本1.82.7和1.82.8,已被人为恶意植入信息窃取程序。 一旦安装,SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia,已经公开证实此事。 在恶意版本存在三小时后,PyPI迅速发现了这一漏洞,并将软件包隔离。但LiteLLM每天下载量约为340万次,许多自动安装新版本的程序员已经遭殃。 社区迅 ...
腾讯网

PyPI发现LiteLLM恶意软件事件,提醒开发者云端和CI/CD凭证泄露风险

PyPI对可能从AI应用和开发者管道中窃取凭证的行为发出警告。此前,广泛使用的大语言模型Python中间件LiteLLM的两个恶意版本曾短暂发布。 "任何安装并运行该项目的人都应假设LiteLLM环境中的任何凭证可能已被泄露,并应相应地撤销/轮换这些凭证,"PyPI在公告中表示,该事件与正在进行的TeamPCP供应链攻击中被利用的Trivy依赖项有关。

月下载9700万的Python库被“投毒”!Karpathy紧急警告:一行pip install ...

如果你是一名 Python 开发者,对 pip install命令肯定很熟悉——这是最常用的套件安装指令,可用来从 PyPI 或其它来源安装、升级与管理套件。 但就在 3 月 24 ...

担心的事还是发生了,真有人给龙虾 “投毒”

如果你最近在用OpenClaw跑Agent、装Skill,或者即便只是正常装了几个常见依赖,那你可得好好注意了! 今日,资深开发者Daniel ...

Major Security Breach Of Critical AI Dependency Exposes Cloud Secrets

A cyber attack hit LiteLLM, an open-source library used in many AI systems, carrying malicious code that stole credentials ...

Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens

The TeamPCP hacking group continues its supply-chain rampage, now compromising the massively popular "LiteLLM" Python package ...
The Hacker News

TeamPCP Pushes Malicious Telnyx Versions to PyPI, Hides Stealer in WAV Files

Malicious telnyx 4.87.1/4.87.2 on PyPI used audio steganography March 27, 2026, enabling cross-platform credential theft.
Infosecurity Magazine

TeamPCP Targets Telnyx Package in Latest PyPI Software Supply Chain Attack

Socket and Endor Labs discovered a new TeamPCP campaign leading to the delivery of credential-stealing malware ...
Dark Reading

Novel PyPI Malware Uses Compiled Python Bytecode to Evade Detection

In a new twist on software supply chain attacks, researchers have discovered a Python package hiding malware inside of compiled code, allowing it to evade ordinary detection measures. On April 17, ...