This page collects WhisperX intelligence signals tagged #pypi. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
一个在GitHub上拥有超过4万星、月下载量高达9700万次的Python核心库LiteLLM,在PyPI官方软件仓库中被植入了恶意代码。这一事件被AI领域知名人物、前特斯拉AI总监Karpathy通过长文推文紧急曝光,并引发了包括埃隆·马斯克在内的广泛关注。攻击者上传了包含后门的版本1.82.7和1.82.8,任何开发者通过简单的`pip install litellm`命令,都可能使自己的系统遭到入侵。目前,被攻破的版本已被PyPI撤回,相关隔离措施也已解除,但影响仍在评估中。 这是一次教科书级别的软件供应链攻击。恶意代码的功能极其危险,一旦安装,它会系统地窃取主机上的大量敏感凭证与数据,包括SSH密钥、各大云服务商(AWS/...
被确认为 " TETPCP " 的一个威胁行为体已升级其持续的供应链折中运动,包括受欢迎的Python AI基础设施一揽子计划LiteLLLM、将恶意代码输入第1.82.7和1.82.88版,以部署一个证书采集模块、Kubernetes集群渗透工具包和一个横跨受害者环境的持久系统后门。 Endo Labs和JFrog的安全研究人员记录了攻击矢量,该矢量来自LiteLLM的CI/CD输油管,其中包括原先在Trivy供应链袭击窗口期间失密的 Trivy安全扫描仪。 这两个恶意版本于2026年3月24日向人民党发表,随后在安全界确定妥协后被删除。 这次袭击是TETPCP的第三个生态系统枢纽,这是在GitHub行动工作流程和Docker H...