近期发现部分软件工具存在高危漏洞，现将相关情况预警如下：

一、AI模型代理框架LiteLLM遭供应链投毒攻击

LiteLLM是一款开源的统一调用大型语言模型（LLM）API的工具。近期，LiteLLM被发现遭受供应链投毒攻击被植入恶意代码，受害者一旦安装并运行恶意LiteLLM，恶意代码即自动执行，窃取用户SSH密钥、云服务凭据等敏感信息。受影响的LiteLLM版本为1.82.7和1.82.8，PyPI官方已紧急下架恶意版本并发布安全公告（https://docs.litellm.ai/blog/security-update-march-2026）。

漏洞处置建议：通过“pipshowlitellm”命令排查，如发现使用受影响LiteLLM版本，立即回退至1.82.6版本。持续关注Python包索引官方和安全机构公告，及时更新已配置的敏感凭证，消除安全隐患。

二、数科OFD文档处理软件升级服务程序存在安全漏洞

金山公司下属子公司北京数科网维技术有限责任公司研发的数科OFD文档处理软件存在升级验证漏洞，攻击者可通过构造特殊字符结尾的字符串以最高权限执行相关命令，从而获取目标主机控制权限。漏洞影响数科OFD文档处理软件Linux信创版，版本3.0.26.0105（不含）以下。

漏洞处置建议：北京数科网维技术有限责任公司官方已发布安全漏洞修复公告（https://www.ofd.cn/details/2026010801?url=true），请及时升级至安全版本。

三、Word、PDF敏感数据泄漏

攻击者利用用户对Word和PDF的信任，精心构造两种诱饵文件。一是嵌入恶意宏的Word文档，攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻，极具迷惑性。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，宏代码将自动执行，解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机，全程静默无提示。二是伪装成PDF的可执行文件，这种手法更具欺骗性，主要有两种形式，一类是“双后缀伪装”，文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后，看似打开PDF，实则运行可执行程序，释放后门；另一类是“恶意文件伪装”，将恶意.desktop文件伪装成PDF，用户误点后，触发隐藏命令，下载窃密程序。

漏洞处置建议：一是禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行。严禁打开陌生邮件附件中的Word文档，若确需打开，先核实发件人身份，确认无风险后，关闭宏功能再浏览，坚决不点击“启用内容”。二是警惕PDF陷阱，规范打开流程。接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”双后缀文件，避免双击直接打开。通过正规PDF阅读器打开文件，开启安全模式，禁止PDF自动运行嵌入式程序。不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。三是强化终端防护，安装终端安全防护软件。

四、黑客伪造火绒官网投递ValleyRAT远控木马

ValleyRAT木马属于银狐木马变种，攻击者通过仿冒火绒安全、Line聊天软件、有道翻译等官方网站，诱导用户下载运行的方式传播ValleyRAT木马。目前伪造的网站仍然存活的有huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdaoq.com等。

漏洞处置建议：尽量不打开来历不明的网页链接，不安装来源不明的软件。

如出现设备被控制的情况，请立即断开受影响桌面电脑的网络连接，防止恶意程序进一步扩散，并及时查杀木马病毒或重装系统。对于未安装安全防护软件的设备应及时安装安全防护软件并定期进行木马病毒查杀，以抵御木马软件和恶意软件攻击（主流安全防护软件可在内部网－网上服务－安全工具一栏中下载https://www1.szu.edu.cn/nc）。如需技术支持请联系信息中心服务电话：26536188。