2026年4月23日,腾讯云安全中心监测到 AI 模型部署工具 Xinference 的 PyPI 包(版本 2.6.0、2.6.1、2.6.2)存在供应链投毒风险。攻击者通过入侵合法贡献者账户,在初始化文件中植入了多层混淆的恶意载荷,可窃取云服务凭证、API 密钥、SSH 密钥、加密货币钱包及数据库连接串等敏感信息,并回传至远程 C2 服务器。使用受影响版本的用户系统应视为已被入侵。
一、 风险详情:攻击者如何投毒?
Xinference(Xorbits Inference)是一个流行的 AI 模型部署工具,帮助用户快速运行和管理大模型。攻击者通过以下方式实施攻击:
- 入侵渠道:攻击者入侵了合法贡献者的 PyPI 账户(或利用自动化机器人),在项目的
__init__.py初始化文件中植入了恶意代码。 - 代码混淆:恶意载荷经过多层 Base64 编码混淆,隐蔽性强。
- 触发方式:当用户安装受影响版本(
pip install xinference)或在代码中执行import xinference时,恶意代码自动解码并在内存中执行。 - 窃取目标:遍历系统收集以下敏感信息:
- AWS / GCP / 腾讯云 / 阿里云等云服务凭证
- Kubernetes 令牌
- SSH 密钥(
~/.ssh/id_rsa等) - 加密货币钱包文件(多种主流钱包)
- 数据库连接字符串(SQL、Redis、MongoDB 等)
- Shell 历史记录(
.bash_history) - 系统环境变量(含各类密钥)
- 数据外传:将窃取的数据打包,回传至预先设定的 C2 服务器域名:
whereisitat[.]lucyatemysuperbox[.]space二、 影响版本与安全版本
| 类别 | 版本号 |
|---|---|
| 受影响版本 | 2.6.0、2.6.1、2.6.2 |
| 安全版本 | ≤ 2.5.0(不含 2.6.x 系列) |
| 风险等级 | 高风险 |
如果您的环境中使用了 Xinference 且版本为 2.6.x,请立即按照下文步骤处理。
三、 排查方法(分步自检)
3.1 检查软件版本
执行以下命令查看已安装的 Xinference 版本:
pip show xinference | grep Version- 如果输出 2.6.0、2.6.1 或 2.6.2,则系统已被入侵。
3.2 检查网络通信
- 检查防火墙或 EDR 日志中是否有对以下域名的访问记录:
whereisitat[.]lucyatemysuperbox[.]space- 也可在
/etc/hosts中临时将该域名指向127.0.0.1阻断通信,但轮换凭证是根本。
3.3 敏感信息泄露排查
| 检查项 | 操作 |
|---|---|
| 云凭证文件 | 查看 ~/.aws/credentials、~/.config/gcloud 等文件的修改时间和内容是否异常 |
| SSH 密钥 | 检查 ~/.ssh/id_rsa 和 ~/.ssh/authorized_keys 是否有未授权修改 |
| Shell 历史 | 执行 history 或查看 ~/.bash_history,排查异常的 curl、wget、base64 命令 |
| 环境变量 | 执行 env,确认敏感变量(如 AWS_SECRET_KEY、DB_PASSWORD)是否被意外打印或记录 |
3.4 云环境专项排查
- K8s 审计:检查
kube-system命名空间下的 Secret 是否被异常挂载或读取。 - CI/CD 日志:审查 GitHub Actions、GitLab CI、Jenkins 的构建日志,确认是否在构建过程中泄露凭证。
四、 修复建议(立即执行)
4.1 隔离与清除
# 1. 卸载恶意版本
pip uninstall xinference
# 2. 降级至安全版本(如仍需使用)
pip install xinference==2.5.0
# 3. 检查残留后门
# 查看 site-packages 目录下是否存在可疑的加密文件或异常 __pycache__
ls -la $(python -c "import site; print(site.getsitepackages()[0])") | grep -i "xinference"4.2 核心凭证与密钥轮换(必须执行)
即使没有发现明显异常,也建议全部轮换,因为恶意代码可能在内存中执行后已清除痕迹。
| 凭证类型 | 操作 |
|---|---|
| 云服务密钥 | 立即轮换 AWS、GCP、腾讯云、阿里云等环境的 AccessKey 和 SecretKey |
| 仓库与 API 令牌 | 轮换 GitHub、GitLab、Slack、Docker Hub 等平台的 Token |
| 数据库密码 | 修改所有被读取的 SQL、Redis、MongoDB 等服务密码 |
| 加密货币钱包 | 立即转移受影响服务器上的所有热钱包资产 |
| SSH 密钥 | 删除 authorized_keys 中的旧公钥,重新生成密钥对并替换 |
4.3 全面安全审计
- IAM 角色审计:检查云环境是否新增了可疑角色或权限变更。
- 操作日志审计:排查 CloudTrail、云审计日志中是否有
GetSecretValue、iam:CreateAccessKey等异常 API 调用。 - 计划任务检查:查看
crontab -l及/etc/cron*是否有攻击者添加的持久化任务。
4.4 阻断 C2 通信
- 在防火墙或 WAF 层面永久封禁域名:
whereisitat[.]lucyatemysuperbox[.]space- 同时封禁其解析的 IP(可通过
nslookup获取)。
五、 站长/开发者启示:供应链攻击如何防范?
Xinference 事件再次敲响警钟:依赖开源 PyPI/npm 等包管理器的项目,随时可能因上游投毒而被入侵。建议采取以下措施:
5.1 使用可信源与锁定版本
- 固定依赖版本(
pip freeze > requirements.txt),避免自动升级到未知版本。 - 使用私有 PyPI 镜像或缓存代理,对下载的包进行安全扫描。
5.2 部署 WAF 与主机安全产品
即使开发环境中招,生产环境的 Web 应用防火墙(WAF) 仍可拦截攻击者利用窃取凭证发起的后续渗透。推荐使用百度云防护 WAF:
- 内置 IP 情报库和 JA4 指纹识别,可识别恶意 IP 和自动化攻击工具。
- 支持自定义规则,阻断异常 API 调用和数据外传。
- 套餐计费,用完即停,成本可控。
5.3 定期备份与应急演练
- 关键数据定期离线备份。
- 制定供应链攻击应急响应预案,包括凭证轮换流程。
六、 总结
Xinference 2.6.0–2.6.2 版本的供应链投毒事件,暴露了 AI 工具链中的安全盲区。任何使用受影响版本的系统都应视为已被入侵,必须立即卸载、降级,并轮换所有相关凭证。同时,建议企业建立开源依赖的安全审查机制,并部署 WAF 作为纵深防御。
如果您需要协助排查或配置百度云防护 WAF,欢迎联系主机吧。我们提供免费安全评估和应急指导。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让供应链攻击无处遁形,让每一份凭证都安全可控。
