金色财经报道,3月25日,据慢雾科技首席信息安全官23pds披露,月下载量高达9700万次的Python AI网关库LiteLLM遭遇PyPI供应链攻击,攻击者通过pip install litellm指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括:SSH密钥、云服务凭据(AWS/GCP/Azure)、Kubernetes配置文件、Git凭据、环境变量中的API密钥、Shell历史记录、加密货币钱包信息及数据库密码等。