Les hackers introduisent furtivement un code de vol de portefeuille crypto dans un outil d'IA populaire qui s'exécute à chaque fois

Un déploiement empoisonné de LiteLLM a transformé une installation Python de routine en un voleur de secrets conscient de la crypto qui recherchait des portefeuilles, du matériel de validateur Solana et des identifiants d’accès cloud à chaque démarrage de Python.

Le 24 mars, entre 10:39 UTC et 16:00 UTC, un attaquant qui avait accédé à un compte de mainteneur a publié deux versions malveillantes de LiteLLM sur PyPI : 1.82.7 et 1.82.8.

LiteLLM se commercialise comme une interface unifiée pour plus de 100 fournisseurs de grands modèles de langage, une position qui le place, par conception, dans des environnements de développeurs riches en identifiants. Les statistiques PyPI enregistrent 96,083,740 téléchargements rien que pour le mois dernier.

Les deux builds comportaient des niveaux de risque différents. La version 1.82.7 nécessitait une importation directe de litellm.proxy pour activer sa charge utile, tandis que la version 1.82.8 a déposé un fichier .pth (litellm_init.pth) dans l’installation Python.

La documentation propre de Python confirme que les lignes exécutables dans les fichiers .pth s’exécutent à chaque démarrage de Python, donc 1.82.8 s’est exécutée sans aucun import du tout. Toute machine qui l’avait installée a exécuté du code compromis dès le prochain lancement de Python.

FutureSearch estime 46,996 téléchargements en 46 minutes, dont 32,464 dus à 1.82.8.

En outre, il a compté 2,337 packages PyPI qui dépendaient de LiteLLM, avec 88% permettant la plage de versions compromise au moment de l’attaque.

La page d’incident de LiteLLM avertissait que toute personne dont l’arbre de dépendances faisait entrer LiteLLM via une contrainte transitive non épinglée pendant la fenêtre devait traiter son environnement comme potentiellement exposé.

L’équipe DSPy a confirmé qu’elle avait une contrainte LiteLLM de « supérieur ou égal à 1.64.0 » et a averti que des installations récentes pendant la fenêtre auraient pu aboutir aux builds empoisonnés.

Conçu pour traquer la crypto

L’ingénierie inverse de la charge utile par SafeDep rend le ciblage crypto explicite.

Le logiciel malveillant a recherché des fichiers de configuration de portefeuille Bitcoin et des fichiers wallet*.dat, des répertoires de coffre-fort Ethereum (keystore), ainsi que des fichiers de configuration Solana sous ~/.config/solana.

SafeDep affirme que le collecteur a réservé un traitement spécial à Solana, en montrant des recherches ciblées pour des paires de clés de validateur, des clés de compte de vote, et des répertoires de déploiement Anchor.

La documentation développeur de Solana fixe le chemin par défaut de la clé CLI du keypair à ~/.config/solana/id.json. La documentation d’Anza sur les validateurs décrit trois fichiers d’autorité centraux pour le fonctionnement du validateur, et indique que le vol du withdrawer autorisé donne à un attaquant un contrôle complet sur les opérations du validateur et les récompenses.

Anza avertit aussi que la clé de retrait ne devrait jamais se trouver sur la machine du validateur elle-même.

SafeDep dit que la charge utile a moissonné des clés SSH, des variables d’environnement, des identifiants cloud et des secrets Kubernetes dans plusieurs namespaces. Lorsqu’elle a trouvé des identifiants AWS valides, elle a interrogé AWS Secrets Manager et le SSM Parameter Store pour obtenir des informations supplémentaires.

Elle a aussi créé des pods node-setup-* privilégiés dans kube-system et installé de la persistance via sysmon.py et une unité systemd.

Pour les équipes crypto, le risque cumulé s’oriente dans une direction précise. Un infostealer qui collecte un fichier de portefeuille en plus de la passphrase, du secret de déploiement, du token CI ou d’un identifiant de cluster provenant de la même machine peut transformer un incident d’identifiants en vidage de portefeuille, en déploiement de contrat malveillant, ou en compromission d’un signataire.

Related Reading

Curve Finance TVL s’effondre sous les 1B$ après une exploitation de vulnérabilité Vyper

Le token CRV de Curve est devenu très volatil après l’attaque, suscitant des craintes de contagion.

Jul 31, 2023 · Oluwapelumi Adejumo

Le malware a assemblé exactement cette combinaison d’artefacts.

Cette attaque fait partie d’une campagne plus vaste, car la note d’incident de LiteLLM relie la compromission à l’incident Trivy antérieur, et Datadog ainsi que Snyk décrivent tous deux LiteLLM comme une étape ultérieure dans une chaîne TeamPCP sur plusieurs jours, qui a traversé plusieurs écosystèmes de développeurs avant d’atteindre PyPI.

La logique de ciblage fonctionne de façon constante sur toute la campagne : un outil d’infrastructure riche en secrets offre un accès plus rapide aux éléments proches des portefeuilles.

Résultats potentiels pour cet épisode

Le scénario haussier repose sur la rapidité de détection et, pour l’instant, l’absence de vol de crypto publiquement confirmé.

PyPI a mis en quarantaine les deux versions à environ 11:25 UTC le 24 mars. LiteLLM a supprimé les builds malveillants, a fait pivoter les identifiants du mainteneur et a contacté Mandiant. PyPI affiche actuellement 1.82.6 comme la dernière version visible.

Si les défenseurs ont fait pivoter les secrets, audité litellm_init.pth, et traité les hôtes exposés comme « brûlés » avant que les adversaires ne transforment les artefacts exfiltrés en exploitation active, alors les dégâts restent circonscrits à l’exposition d’identifiants.

L’incident accélère aussi l’adoption de pratiques déjà en train de gagner du terrain. Le Trusted Publishing de PyPI remplace les tokens API manuels de longue durée par une identité OIDC à durée de vie courte ; environ 45,000 projets l’avaient adopté d’ici novembre 2025.

CryptoSlate Daily Brief

Signaux quotidiens, zéro bruit.

Des titres qui font bouger le marché et du contexte livrés chaque matin en une lecture concise.

5-minute digest 100k+ lecteurs

Email address

Recevoir le brief

Gratuit. Pas de spam. Désinscription à tout moment.

Oups, il semble qu’il y ait eu un problème. Veuillez réessayer.

Vous êtes abonné. Bienvenue à bord.

L’incident de LiteLLM impliquait l’abus d’identifiants de publication (release credentials), ce qui rend beaucoup plus difficile d’écarter l’affaire en cas de basculement.

Pour les équipes crypto, l’incident crée une urgence autour d’une séparation plus stricte des rôles : les withdrawers de validateur conservés complètement hors ligne, les signataires de déploiement isolés, des identifiants cloud à durée de vie courte, et des graphes de dépendances verrouillés.

Les consignes rapides d’épinglage de l’équipe DSPy et les indications post-incident de LiteLLM pointent toutes deux vers des builds hermétiques comme standard de remédiation.

Un diagramme chronologique trace la fenêtre de compromission de LiteLLM du 10:39 UTC au 16:00 UTC le 24 mars, en annotant 46,996 téléchargements directs en 46 minutes et un périmètre d’explosion en aval de 2,337 packages PyPI dépendants, dont 88% autorisaient la plage de versions compromise.

Le scénario pessimiste repose sur le retard. SafeDep a documenté une charge utile qui a exfiltré des secrets, s’est propagée à l’intérieur de clusters Kubernetes et a installé de la persistance avant la détection.

Un opérateur qui a installé une dépendance empoisonnée à l’intérieur d’un build runner ou d’un environnement connecté à un cluster le 24 mars pourrait ne pas découvrir l’étendue complète de cette exposition pendant des semaines. Les clés API exfiltrées, les identifiants de déploiement et les fichiers de portefeuille n’expirent pas à la détection. Les adversaires peuvent les conserver et agir plus tard.

Sonatype place la disponibilité malveillante à « au moins deux heures » ; les propres consignes de LiteLLM couvrent des installations jusqu’à 16:00 UTC ; et le timestamp de quarantaine de FutureSearch est de 11:25 UTC.

Les équipes ne peuvent pas se fier uniquement au filtrage par timestamp pour déterminer leur exposition, car ces chiffres ne donnent pas un signal clair de « tout est bon ».

Le scénario le plus dangereux dans cette catégorie concerne des environnements d’opérateurs partagés. Une bourse crypto, un opérateur de validateur, une équipe de bridge, ou un fournisseur de RPC qui aurait installé une dépendance transitive empoisonnée à l’intérieur d’un build runner aurait exposé l’ensemble d’un plan de contrôle.

Les vidages de secrets Kubernetes sur plusieurs namespaces et la création de pods privilégiés dans le namespace kube-system sont des outils d’accès au plan de contrôle conçus pour le mouvement latéral.

Si ce mouvement latéral atteignait un environnement où du matériel de validateur à chaud ou semi-temps réel était présent sur des machines accessibles, les conséquences pourraient aller du vol de certains identifiants à la compromission de l’autorité du validateur.

Un organigramme en cinq étapes retrace le chemin de l’attaque depuis l’installation transitive empoisonnée de LiteLLM via l’exécution automatique au démarrage de Python, la collecte de secrets et l’expansion du plan de contrôle Kubernetes, jusqu’à des issues crypto potentielles.

La quarantaine de PyPI et la réponse à incident de LiteLLM ont fermé la fenêtre de distribution active.

Les équipes qui ont installé ou mis à niveau LiteLLM le 24 mars, ou qui ont exécuté des builds avec des dépendances transitive non épinglées résolvant vers 1.82.7 ou 1.82.8, devraient considérer leurs environnements comme entièrement compromis.

Certaines actions incluent la rotation de tous les secrets accessibles depuis les machines exposées, l’audit pour litellm_init.pth, la révocation et la réémission des identifiants cloud, et la vérification qu’aucun matériel d’autorité de validateur n’était accessible depuis ces hôtes.

L’incident LiteLLM documente un chemin pour un attaquant qui savait exactement quels fichiers hors chaîne rechercher, disposait d’un mécanisme de livraison avec des dizaines de millions de téléchargements mensuels, et a construit de la persistance avant que quiconque retire les builds de la distribution.

La machinerie hors chaîne qui déplace et protège la crypto se trouvait directement dans le chemin de recherche de la charge utile.

Mentionné dans cet article

Bitcoin Ethereum Solana

Publié dans

À la une Hacks Crime Solana Web3

Auteur Voir le profil →

Gino Matos

Reporter • CryptoSlate

Gino Matos est diplômé en droit (law school) et journaliste chevronné avec six ans d’expérience dans l’industrie crypto. Son expertise se concentre principalement sur l’écosystème blockchain brésilien et les développements dans la finance décentralisée (DeFi).

@pelicamatos LinkedIn

Rédacteur Voir le profil →

Liam ‘Akiba’ Wright

Rédacteur en chef • CryptoSlate

Aussi connu sous le nom « Akiba », Liam Wright est le rédacteur en chef d’CryptoSlate et animateur du SlateCast. Il pense que la technologie décentralisée a le potentiel d’apporter un changement positif à grande échelle.

@akibablade LinkedIn

Contexte

Couverture liée

Changez de catégorie pour approfondir ou obtenir plus de contexte.

Solana Dernières actualités      Hacks Catégorie principale      Communiqués de presse Newswire  

Régulation

La SEC réduit drastiquement la pression KYC sur le Bitcoin, XRP et Solana avec de nouvelles règles crypto

La SEC redéfinit le paysage crypto avec une nouvelle taxonomie, en fixant des limites et en laissant de la place à l’innovation en matière de confidentialité.

2 weeks ago

Tokenization

Wall Street construit sur Solana malgré sa réputation de memecoin

La structure de frappe et de rachat 24/5 d’Ondo maintient les valeurs mobilières avec des courtiers-concessionnaires tandis que Solana gère la couche de transfert.

2 weeks ago

Tether détient encore plus d’argent liquide, mais l’USDC de Circle déplace désormais davantage de l’argent de la crypto

Stablecoins · 3 weeks ago

Le XRP Ledger vient de dépasser Solana en valeur de tokenisation RWA et le nombre de détenteurs révèle pourquoi

Tokenization · 2 months ago

Faille Solana terrifiante : comment le réseau « toujours actif » aurait pu être stoppé facilement par des hackers

Analysis · 2 months ago

L’attaque publique de Solana contre Starknet révèle comment des milliards de volume « mercenaire » gonflent artificiellement les valorisations réseau dès maintenant

DeFi · 3 months ago

Hacks

Circle dans la tourmente : 230M$ en USDC volés, déblocage après un gel des comptes légitimes

L’exploit Drift révèle une contradiction grandissante dans la manière dont les émetteurs de stablecoins appliquent le contrôle pendant les crises.

2 hours ago

Analysis

Pourquoi les hacks crypto ne s’arrêtent pas et continuent même quand l’argent est parti

Un exploit crypto peut vider un portefeuille en quelques minutes, mais les dégâts complets se déploient souvent sur des mois. Les tokens continuent de chuter, les trésoreries se réduisent, les gels de recrutement s’installent, et les projets qui survivent au vol peuvent encore perdre leur avenir dans les suites.

2 weeks ago

La vision de stablecoins de 2 billions de dollars du Trésor rencontre une réalité : USD1 se découple

Stablecoins · 1 month ago

La sécurité de la réserve de Bitcoin de 28B$ du gouvernement US menacée après un vol du week-end révélant une faille

Hacks · 2 months ago

Les bots « Robin Hood » digitaux volent aux hackers mais ne rendent pas toujours l’argent aux pauvres

Hacks · 2 months ago

Des centaines de portefeuilles MetaMask vidés : quoi vérifier avant de « mettre à jour »

Wallets · 3 months ago

ADI Chain annonce ADI Predictstreet comme partenaire du marché de prédiction pour la Coupe du monde FIFA 2026

Soutenu par ADI Chain, ADI Predictstreet fera ses débuts sur la plus grande scène du football en tant que partenaire officiel du marché de prédiction de la Coupe du monde FIFA 2026.

6 hours ago

BTCC Exchange nommé partenaire régional officiel de l’équipe nationale argentine

BTCC s’est associé à l’Association argentine de football via la Coupe du monde FIFA 2026, reliant la présence crypto de longue date de la bourse à l’une des équipes nationales les plus titrées du football.

1 day ago

Encrypt arrive sur Solana pour alimenter des marchés de capitaux chiffrés

PR · 3 days ago

Ika arrive sur Solana pour alimenter des marchés de capitaux sans pont (bridgeless)

PR · 3 days ago

Le lancement de TxFlow L1 Mainnet marque une nouvelle phase pour la finance on-chain multi-applications

PR · 3 days ago

BYDFi marque son 6e anniversaire avec une célébration sur un mois, conçue pour la fiabilité

PR · 3 days ago

Disclaimer

Les opinions de nos auteurs leur appartiennent exclusivement et ne reflètent pas l’opinion de CryptoSlate. Aucune des informations que vous lisez sur CryptoSlate ne doit être considérée comme un conseil en investissement, et CryptoSlate n’endosse aucun projet qui pourrait être mentionné ou lié dans cet article. L’achat et le trading de cryptomonnaies doivent être considérés comme une activité à haut risque. Veuillez effectuer votre propre diligence raisonnable avant toute action liée au contenu de cet article. Enfin, CryptoSlate n’assume aucune responsabilité si vous perdez de l’argent en faisant du trading de cryptomonnaies. Pour plus d’informations, consultez nos mentions légales d’entreprise.