Les hackers introduisent furtivement un code de vol de portefeuille crypto dans un outil d'IA populaire qui s'exécute à chaque fois

Une publication empoisonnée de LiteLLM a transformé une installation Python de routine en un voleur de secrets conscient de la crypto, qui cherchait des portefeuilles, des éléments de validation Solana et des identifiants cloud à chaque démarrage de Python.

Le 24 mars, entre 10:39 UTC et 16:00 UTC, un attaquant qui avait obtenu l’accès à un compte de mainteneur a publié deux versions malveillantes de LiteLLM sur PyPI : 1.82.7 et 1.82.8.

LiteLLM se présente comme une interface unifiée pour plus de 100 fournisseurs de modèles de langage. Cette position le place, par conception, au sein d’environnements de développement riches en identifiants. Les statistiques PyPI enregistrent 96 083 28Béléchargements rien que le mois dernier.

Les deux builds comportaient des niveaux de risque différents. La version 1.82.7 nécessitait une importation directe de litellm.proxy pour activer sa charge utile, tandis que la version 1.82.8 a déposé un fichier .pth (litellm_init.pth) dans l’installation Python.

La documentation de Python elle-même confirme que les lignes exécutables dans les fichiers .pth s’exécutent à chaque démarrage de Python, donc 1.82.8 a exécuté du code sans aucune importation. Toute machine qui l’avait installé a exécuté du code compromis au prochain lancement de Python.

FutureSearch estime 46 1Béléchargements en 46 minutes, avec 1.82.8 qui en représente 32 464.

En plus, il a compté 2 337 packages PyPI qui dépendaient de LiteLLM, avec 88 % permettant la plage de versions compromise au moment de l’attaque.

La page d’incident de LiteLLM avertissait que toute personne dont l’arbre de dépendances faisait entrer LiteLLM via une contrainte transitive non épinglée pendant la fenêtre devait considérer son environnement comme potentiellement exposé.

L’équipe DSPy a confirmé qu’elle avait une contrainte LiteLLM de « supérieur ou égal à 1.64.0 » et a averti que de nouvelles installations pendant la fenêtre auraient pu aboutir aux builds empoisonnés.

Conçu pour traquer la crypto

La rétro-ingénierie de la charge utile par SafeDep rend le ciblage crypto explicite.

Le logiciel malveillant cherchait des fichiers de configuration de portefeuille Bitcoin et des fichiers wallet*.dat, des répertoires de coffre-fort Ethereum (keystore), ainsi que des fichiers de configuration Solana sous ~/.config/solana.

SafeDep indique que le collecteur a réservé un traitement spécial à Solana, en montrant des recherches ciblées de paires de clés de validateur, de clés de comptes de vote, et de répertoires de déploiement Anchor.

La documentation développeur de Solana définit le chemin d’accès par défaut de la paire de clés CLI à ~/.config/solana/id.json. La documentation d’Anza sur les validateurs décrit trois fichiers d’autorité centraux pour le fonctionnement du validateur, et indique que le vol du withdrawer autorisé donne à un attaquant un contrôle total sur les opérations et les récompenses du validateur.

Anza avertit aussi que la clé de retrait ne devrait jamais rester elle-même sur la machine du validateur.

SafeDep indique que la charge utile récoltait des clés SSH, des variables d’environnement, des identifiants cloud et des secrets Kubernetes à travers des namespaces. Quand il trouvait des identifiants AWS valides, il interrogeait AWS Secrets Manager et le SSM Parameter Store pour des informations supplémentaires.

Il a aussi créé des pods privilégiés node-setup-* dans kube-system et installé une persistance via sysmon.py et une unité systemd.

Pour les équipes crypto, le risque cumulé suit une direction précise. Un infostealer qui collecte un fichier de portefeuille en plus de la phrase secrète, du secret de déploiement, du jeton CI ou de l’identifiant de cluster provenant de la même machine peut transformer un incident d’identifiants en vidage de portefeuille, en déploiement de contrat malveillant, ou en compromission d’un signataire.

Lectures complémentaires

La TVL de Curve chute sous 1 Md$ après une exploitation de vulnérabilité Vyper

Le token CRV de Curve est devenu très volatil après l’attaque, suscitant des craintes de contagion.

31 juil. 2023 · Oluwapelumi Adejumo

Le malware a assemblé exactement cette combinaison d’artefacts.

Cette attaque fait partie d’une campagne plus large : la note d’incident de LiteLLM lie la compromission à l’incident Trivy précédent, et Datadog et Snyk décrivent tous deux LiteLLM comme une étape ultérieure d’une chaîne TeamPCP sur plusieurs jours qui a traversé plusieurs écosystèmes de développeurs avant d’arriver à PyPI.

La logique de ciblage reste cohérente sur toute la campagne : un outil d’infrastructure riche en secrets donne un accès plus rapide à du matériel proche des portefeuilles.

Résultats potentiels pour cet épisode

Le scénario favorable repose sur la rapidité de détection et, pour le moment, l’absence de vol de crypto publiquement confirmé.

PyPI a mis en quarantaine les deux versions vers environ 11:25 UTC le 24 mars. LiteLLM a supprimé les builds malveillants, a fait tourner les identifiants du mainteneur et a contacté Mandiant. PyPI affiche actuellement 1.82.6 comme la dernière version visible.

Si les défenseurs ont fait tourner les secrets, audité pour litellm_init.pth et traité les hôtes exposés comme « brûlés » avant que les adversaires ne puissent convertir les artefacts exfiltrés en exploitation active, alors les dommages restent contenus à une exposition d’identifiants.

L’incident accélère aussi l’adoption de pratiques déjà en train de gagner du terrain. Le Trusted Publishing de PyPI remplace de longs tokens API manuels par une identité à durée de vie courte adossée à OIDC ; environ 45 000 projets l’avaient adopté d’ici novembre 2025.

CryptoSlate Daily Brief

Signaux quotidiens, zéro bruit.

Des gros titres qui font bouger le marché et du contexte livrés chaque matin dans une lecture dense.

5 minutes de synthèse 100k+ lecteurs

Adresse e-mail

Recevoir la synthèse

Gratuit. Pas de spam. Désabonnement à tout moment.

Oups, on dirait qu’il y a eu un problème. Veuillez réessayer.

Vous êtes abonné. Bienvenue à bord.

L’incident de LiteLLM impliquait l’abus d’identifiants de publication, rendant beaucoup plus difficile d’écarter l’affaire en vue d’un changement.

Pour les équipes crypto, l’incident crée une urgence pour une séparation plus stricte des rôles : des withdrawers de validateur à froid conservés entièrement hors ligne, des signataires de déploiement isolés, des identifiants cloud à courte durée de vie, et des graphes de dépendances verrouillés.

Les recommandations rapides d’épinglage de l’équipe DSPy et les conseils de LiteLLM après incident indiquent tous deux que des builds hermétiques doivent devenir la norme de remédiation.

Un diagramme chronologique montre la fenêtre de compromission de LiteLLM du 24 mars, de 10:39 UTC à 16:00 UTC, en annotant 46 996 téléchargements directs en 46 minutes et une zone d’impact en aval de 2 337 packages PyPI dépendants, dont 88 % autorisaient la plage de versions compromise.

Le scénario pessimiste se joue dans le décalage. SafeDep a documenté une charge utile qui exfiltrait des secrets, se propageait à l’intérieur de clusters Kubernetes et installait une persistance avant la détection.

Un opérateur qui a installé une dépendance empoisonnée dans un runner de build ou dans un environnement connecté à un cluster le 24 mars pourrait ne pas découvrir toute l’étendue de cette exposition avant des semaines. Les clés API exfiltrées, les identifiants de déploiement et les fichiers de portefeuille n’expirent pas à la détection. Les adversaires peuvent les conserver et agir plus tard.

Sonatype place la disponibilité malveillante à « au moins deux heures » ; la propre guidance de LiteLLM couvre les installations jusqu’à 16:00 UTC ; et le timestamp de quarantaine de FutureSearch est 11:25 UTC.

Les équipes ne peuvent pas se reposer uniquement sur le filtrage par horodatage pour déterminer leur exposition, car ces chiffres ne donnent pas un signal clair de « tout est bon ».

Le scénario le plus dangereux dans cette catégorie se concentre sur des environnements d’opérateurs partagés. Une bourse crypto, un opérateur de validateur, une équipe bridge ou un fournisseur RPC qui aurait installé une dépendance transitive empoisonnée dans un runner de build aurait exposé une control plane entière.

Les vidages de secrets Kubernetes sur plusieurs namespaces et la création de pods privilégiés dans le namespace kube-system sont des outils d’accès à la control plane conçus pour le mouvement latéral.

Si ce mouvement latéral atteignait un environnement où du matériel de validateur « chaud » ou semi-chaud était présent sur des machines accessibles, les conséquences pourraient aller du vol d’identifiants individuel à la compromission de l’autorité du validateur.

Un organigramme en cinq étapes trace le chemin de l’attaque depuis une installation transitive empoisonnée de LiteLLM, jusqu’à l’exécution automatique au démarrage de Python, la récolte de secrets et l’expansion de la control plane Kubernetes, puis jusqu’aux issues crypto potentielles.

La quarantaine de PyPI et la réponse à l’incident de LiteLLM ont fermé la fenêtre de distribution active.

Les équipes qui ont installé ou mis à niveau LiteLLM le 24 mars, ou qui ont exécuté des builds avec des dépendances transitive non épinglées aboutissant à 1.82.7 ou 1.82.8, devraient considérer leurs environnements comme entièrement compromis.

Certaines actions incluent de faire tourner tous les secrets accessibles depuis les machines exposées, d’auditer pour litellm_init.pth, de révoquer et de réémettre les identifiants cloud, et de vérifier qu’aucun matériel d’autorité de validateur n’était accessible depuis ces hôtes.

L’incident de LiteLLM documente un chemin d’un attaquant qui savait exactement quels fichiers hors-chaîne chercher, qui disposait d’un mécanisme de livraison avec des dizaines de millions de téléchargements mensuels, et qui a construit une persistance avant que quiconque ne sorte les builds de la distribution.

La mécanique hors-chaîne qui déplace et sécurise la crypto se trouvait directement dans le chemin de recherche de la charge utile.

Mentionné dans cet article

Bitcoin Ethereum Solana

Publié dans

En vedette Hacks Crime Solana Web3

Auteur Voir le profil →

Gino Matos

Rédacteur • CryptoSlate

Gino Matos est diplômé en droit et journaliste chevronné, avec six ans d’expérience dans l’industrie crypto. Son expertise se concentre principalement sur l’écosystème blockchain brésilien et sur les développements de la finance décentralisée (DeFi).

@pelicamatos LinkedIn

Rédacteur en chef Voir le profil →

Liam ‘Akiba’ Wright

Rédacteur en chef • CryptoSlate

Aussi connu sous le nom « Akiba », Liam Wright est le rédacteur en chef de CryptoSlate et l’hôte de SlateCast. Il pense que la technologie décentralisée a le potentiel de produire un changement positif à grande échelle.

@akibablade LinkedIn

Contexte

Couverture associée

Changez de catégories pour approfondir ou obtenir un contexte plus large.

Solana Dernières actus Hacks Catégorie principale Communiqués de presse Newswire

Réglementation

La SEC réduit drastiquement la pression KYC sur Bitcoin, XRP et Solana avec de nouvelles règles crypto révisées

La SEC redéfinit le paysage crypto avec une nouvelle taxonomie, fixe des limites et laisse de la place à l’innovation en matière de confidentialité.

Il y a 3 semaines

Tokenisation

Wall Street construit sur Solana malgré sa réputation de memecoin

Le mint et le redeem 24/5 d’Ondo maintiennent les titres chez les courtiers-distributeurs, tandis que Solana gère la couche de transfert.

Il y a 3 semaines

Tether détient toujours plus de liquidités, mais le USDC de Circle fait maintenant bouger davantage l’argent crypto

Stablecoins · 3 semaines ago

Le XRP Ledger vient de dépasser Solana en valeur de tokenisation RWA et le nombre de détenteurs révèle pourquoi

Tokenisation · 2 months ago

Faille Solana terrifiante : comment le réseau « toujours actif » aurait pu être stoppé si facilement par des hackers

Analyse · 2 months ago

L’attaque publique de Solana sur Starknet révèle comment des milliards de volume « mercenaire » dopent artificiellement les valorisations réseau dès maintenant

DeFi · 3 months ago

Hacks

Le gel de l’USDC de Circle fait l’objet d’un nouvel examen après des wallets bloqués et une réponse au vol retardée

Circle peut geler l’USDC rapidement, mais les critiques disent que les cas récents ont révélé des standards de revue inégaux et un risque opérationnel croissant.

Il y a 1 jour

Hacks

Circle sous le feu des critiques après 230 M$ en USDC volés : débloqués des jours après le gel des comptes légitimes

L’exploit Drift met en évidence une contradiction croissante dans la façon dont les émetteurs de stablecoins appliquent le contrôle pendant les crises.

Il y a 3 jours

Pourquoi les piratages crypto ne s’arrêtent pas et continuent même quand l’argent a disparu

Analyse · 2 weeks ago

La vision de 2 000 milliards de dollars de stablecoins du Trésor rencontre une réalité : USD1 se dédote

Stablecoins · 1 month ago

La sécurité de la réserve Bitcoin de 28 Md$ du gouvernement américain menacée après un vol le week-end révèle une faille

Hacks · 2 months ago

Des bots « Robin Hood » numériques volent aux hackers, mais ne rendent pas toujours aux pauvres

Hacks · 2 months ago

CoinRabbit réduit les taux de prêt crypto pour les prêts XRP et 300+ actifs

Avec des taux de prêt désormais à partir de 11,95 %, CoinRabbit étend l’emprunt adossé à la crypto à moindre coût sur XRP et 300+ actifs pris en charge.

Il y a 3 heures

ADI Chain annonce ADI Predictstreet comme partenaire du marché de prédiction de la Coupe du Monde de la FIFA 2026

Soutenu par ADI Chain, ADI Predictstreet fera ses débuts sur la plus grande scène du football en tant que partenaire officiel du marché de prédiction de la Coupe du Monde de la FIFA 2026.

Il y a 3 jours

La bourse BTCC nommée partenaire régional officiel de l’équipe nationale argentine

PR · 4 days ago

Encrypt arrive sur Solana pour alimenter des marchés de capitaux chiffrés

PR · 6 days ago

Ika arrive sur Solana pour alimenter des marchés de capitaux sans bridge

PR · 6 days ago

Le lancement du mainnet TxFlow L1 marque une nouvelle phase pour la finance on-chain multi-application

PR · 6 days ago

Disclaimer

Les opinions de nos rédacteurs n’appartiennent qu’à eux et ne reflètent pas l’opinion de CryptoSlate. Aucune des informations que vous lisez sur CryptoSlate ne doit être prise comme un conseil en investissement, et CryptoSlate ne cautionne aucun projet qui pourrait être mentionné ou lié dans cet article. L’achat et la négociation de crypto-monnaies doivent être considérés comme une activité à haut risque. Veuillez faire votre propre diligence raisonnable avant de prendre toute action liée au contenu de cet article. Enfin, CryptoSlate n’assume aucune responsabilité si vous perdez de l’argent en échangeant des crypto-monnaies. Pour plus d’informations, consultez nos mentions légales d’entreprise.