慢霧CISO：LiteLLM遭PyPI供應鏈攻擊，加密錢包及雲憑據等敏感信息面臨洩露風險

3 月 25 日，據慢霧科技首席信息安全官 23pds 披露，月下載量高達 9700 萬次的 Python AI 網關庫 LiteLLM 遭遇 PyPI 供應鏈攻擊，攻擊者通過 pip install litellm 指令即可在用戶設備上竊取敏感信息。可竊取的敏感數據包括：SSH 密鑰、雲服務憑據（AWS / GCP / Azure）、Kubernetes 配置文件、Git 憑據、環境變量中的 API 密鑰、Shell 歷史記錄、加密貨幣錢包信息及數據庫密碼等。