Hackers introduzem código de roubo de carteiras de criptomoedas numa ferramenta de IA popular que é executada a cada momento

Um lançamento envenenado do LiteLLM transformou uma instalação Python rotineira num stealer de segredos com consciência cripto que procurou carteiras, material de validadores Solana e credenciais de cloud sempre que o Python era iniciado.

Em 24 de março, entre 10:39 UTC e 16:00 UTC, um atacante que tinha obtido acesso a uma conta de mantenedor publicou duas versões maliciosas do LiteLLM no PyPI: 1.82.7 e 1.82.8.

O LiteLLM promove-se como uma interface unificada para mais de 100 fornecedores de grandes modelos de linguagem, uma posição que o coloca, por design, em ambientes de desenvolvimento ricos em credenciais. As Estatísticas do PyPI registam 96.083.740 downloads apenas no último mês.

As duas builds transportavam níveis de risco diferentes. A versão 1.82.7 exigia um import direto de litellm.proxy para ativar o seu payload, enquanto a versão 1.82.8 colocou um ficheiro .pth (litellm_init.pth) na instalação do Python.

A documentação própria do Python confirma que linhas executáveis em ficheiros .pth correm em cada arranque do Python, pelo que 1.82.8 executou-se sem qualquer import. Qualquer máquina que o tivesse instalado executou código comprometido no momento em que o Python arrancou novamente.

A FutureSearch estima 46.996 downloads em 46 minutos, com 1.82.8 a representar 32.464 desses.

Além disso, contabilizou 2.337 pacotes PyPI que dependiam do LiteLLM, com 88% a permitir a gama de versões comprometida no momento do ataque.

A própria página de incidente do LiteLLM alertava que qualquer pessoa cuja árvore de dependências puxasse o LiteLLM através de uma restrição transitiva não fixada durante essa janela deveria tratar o seu ambiente como potencialmente exposto.

A equipa DSPy confirmou que tinha uma restrição do LiteLLM de “superior ou igual a 1.64.0” e alertou que instalações novas durante a janela poderiam ter resolvido para as builds envenenadas.

Construído para caçar cripto

A engenharia reversa do payload feita pela SafeDep torna o alvo criptográfico explícito.

O malware procurou ficheiros de configuração de carteiras Bitcoin e ficheiros wallet*.dat, diretórios de keystore Ethereum e ficheiros de configuração Solana em ~/.config/solana.

A SafeDep afirma que o coletor deu tratamento especial ao Solana, apresentando pesquisas direcionadas para pares de chaves de validador, chaves de conta de voto e diretórios de deploy Anchor.

A documentação para developers do Solana define o caminho predefinido da chave CLI em ~/.config/solana/id.json. A documentação do validador da Anza descreve três ficheiros de autoridade centrais para a operação do validador e afirma que o roubo do withdrawer autorizado dá a um atacante controlo total sobre as operações do validador e recompensas.

A Anza também avisa que a chave de withdrawal nunca deve ficar na própria máquina do validador.

A SafeDep diz que o payload colheu chaves SSH, variáveis de ambiente, credenciais de cloud e segredos do Kubernetes em namespaces. Quando encontrou credenciais AWS válidas, consultou o AWS Secrets Manager e o SSM Parameter Store para informação adicional.

Também criou pods privilegiados node-setup-* no kube-system e instalou persistência através de sysmon.py e de uma unit do systemd.

Para equipas de cripto, o risco composto segue uma direção específica. Um infostealer que recolhe um ficheiro de carteira juntamente com a passphrase, o segredo de deploy, o token de CI ou a credencial do cluster do mesmo host pode transformar um incidente de credenciais num esvaziamento de carteira, numa implantação de contrato malicioso, ou numa compromissão do signatário.

Leituras relacionadas

O TVL da Curve cai mais de $1B após exploração de vulnerabilidade em Vyper

O token CRV da Curve tornou-se altamente volátil após o ataque, levando a temores de contágio.

31 Jul 2023 · Oluwapelumi Adejumo

O malware montou exatamente essa combinação de artefactos.

Este ataque faz parte de uma campanha mais vasta, já que a nota de incidente do LiteLLM liga a comprometimento ao incidente Trivy anterior, e a Datadog e a Snyk descrevem ambas o LiteLLM como uma fase posterior numa cadeia TeamPCP de vários dias que passou por vários ecossistemas de developers antes de chegar ao PyPI.

A lógica de direcionamento corre de forma consistente ao longo da campanha: uma ferramenta de infraestrutura rica em segredos fornece acesso mais rápido a material próximo das carteiras.

Resultados potenciais para este episódio

O caso otimista assenta na rapidez da deteção e na ausência, até agora, de roubos criptográficos confirmados publicamente.

O PyPI colocou em quarentena ambas as versões cerca de 11:25 UTC a 24 de março. O LiteLLM removeu as builds maliciosas, rodou as credenciais do mantenedor e envolveu a Mandiant. Atualmente, o PyPI mostra a 1.82.6 como a versão mais recente visível.

Se os defensores rodaram segredos, fizeram auditoria a litellm_init.pth e trataram hosts expostos como “queimados” antes de os adversários conseguirem transformar artefactos exfiltrados em exploração ativa, então o dano fica contido à exposição de credenciais.

O incidente também acelera a adoção de práticas que já estão a ganhar terreno. A Publicação Confiável do PyPI substitui tokens de API manuais de longa duração por identidade suportada por OIDC com pouca duração; cerca de 45.000 projetos tinham-na adotado até novembro de 2025.

CryptoSlate Daily Brief

Sinais diários, zero ruído.

Cabeçalhos que movem o mercado e contexto entregues todas as manhãs numa leitura curta e direta.

5 minutos de resumo 100k+ leitores

Endereço de email

Obter o brief

Grátis. Sem spam. Pode cancelar a qualquer momento.

Ups, parece que houve um problema. Tente de novo.

Subscrito. Bem-vindo a bordo.

O incidente do LiteLLM envolveu o abuso de credenciais de release, tornando muito mais difícil dispensar o caso de mudança.

Para equipas de cripto, o incidente cria urgência para separação de funções mais rigorosa: withdrawers de validador frias mantidas totalmente offline, signatários de deploy isolados, credenciais de cloud de curta duração e grafos de dependências bloqueados.

Tanto o rápido pinning da equipa DSPy como a orientação pós-incidente do próprio LiteLLM apontam para builds herméticas como padrão de remediação.

Um cronograma traça a janela de comprometimento do LiteLLM de 10:39 UTC a 16:00 UTC a 24 de março, anotando 46.996 downloads diretos em 46 minutos e uma área de impacto subsequente de 2.337 pacotes PyPI dependentes, dos quais 88% permitiram a gama de versões comprometida.

O caso pessimista depende do atraso. A SafeDep documentou um payload que exfiltrou segredos, se espalhou dentro de clusters Kubernetes e instalou persistência antes da deteção.

Um operador que instalou uma dependência envenenada dentro de um build runner ou num ambiente ligado ao cluster em 24 de março pode não descobrir o alcance total dessa exposição durante semanas. Chaves de API exfiltradas, credenciais de deploy e ficheiros de carteira não expiram com a deteção. Os adversários podem mantê-los e agir mais tarde.

A Sonatype coloca a disponibilidade maliciosa em “pelo menos duas horas”; a orientação do próprio LiteLLM abrange instalações até 16:00 UTC; e o timestamp de quarentena da FutureSearch é 11:25 UTC.

As equipas não podem confiar apenas em filtragem por timestamp para determinar a sua exposição, pois esses números não produzem um “tudo certo” claro.

O cenário mais perigoso nesta categoria centra-se em ambientes de operadores partilhados. Uma bolsa de cripto, um operador de validador, uma equipa de bridge ou um fornecedor de RPC que tivesse instalado uma dependência transitiva envenenada dentro de um build runner teria exposto um plano de controlo inteiro.

Dumps de segredos do Kubernetes por namespaces e a criação de pods privilegiados no namespace kube-system são ferramentas de acesso ao plano de controlo desenhadas para movimento lateral.

Se esse movimento lateral atingisse um ambiente onde material de validador hot ou semi-hot estivesse presente em máquinas alcançáveis, as consequências poderiam variar de roubo de credenciais individual a compromissão da autoridade do validador.

Um fluxograma de cinco etapas traça o caminho do ataque desde uma instalação transitiva envenenada do LiteLLM, passando pela execução automática na inicialização do Python, recolha de segredos e expansão do plano de controlo do Kubernetes, até resultados possíveis para cripto.

A quarentena do PyPI e a resposta a incidentes do LiteLLM encerraram a janela ativa de distribuição.

As equipas que instalaram ou atualizaram o LiteLLM a 24 de março, ou que correram builds com dependências transitivas não fixadas que resolveram para 1.82.7 ou 1.82.8, devem tratar os seus ambientes como totalmente comprometidos.

Algumas ações incluem rodar todos os segredos acessíveis a partir de máquinas expostas, auditar por litellm_init.pth, revogar e emitir novamente credenciais de cloud, e verificar que nenhum material de autoridade de validador estava acessível a partir desses hosts.

O incidente do LiteLLM documenta o caminho de um atacante que sabia exatamente quais ficheiros off-chain procurar, tinha um mecanismo de entrega com dezenas de milhões de downloads mensais, e construiu persistência antes de qualquer pessoa remover as builds da distribuição.

A maquinaria off-chain que move e protege a cripto esteve diretamente no caminho de pesquisa do payload.

Mencionado neste artigo

Bitcoin Ethereum Solana

Publicado em

Em destaque Hacks Crime Solana Web3

Autor Ver perfil →

Gino Matos

Repórter • CryptoSlate

Gino Matos é licenciado em Direito e jornalista com experiência consolidada, com seis anos de atuação na indústria cripto. A sua especialização foca sobretudo o ecossistema de blockchain brasileiro e desenvolvimentos em finanças descentralizadas (DeFi).

@pelicamatos LinkedIn

Editor Ver perfil →

Liam ‘Akiba’ Wright

Diretor Executivo • CryptoSlate

Também conhecido como “Akiba”, Liam Wright é o Diretor Executivo do CryptoSlate e apresentador do SlateCast. Acredita que a tecnologia descentralizada tem potencial para gerar mudanças positivas generalizadas.

@akibablade LinkedIn

Contexto

Cobertura relacionada

Mude categorias para se aprofundar ou ganhar contexto mais amplo.

Solana Últimas Notícias Hacks Categoria Principal Comunicados de Imprensa Noticiário

Regulamentação

A SEC reduz drasticamente a pressão de KYC sobre Bitcoin, XRP e Solana com regras de cripto revistas

A SEC redefine o panorama cripto com nova taxonomia, estabelecendo limites e dando espaço para inovação em privacidade.

3 semanas atrás

Tokenização

Wall Street está a construir na Solana apesar da sua reputação de memecoin

A estrutura de mint e redeem 24/5 da Ondo mantém securities com corretoras e intermediários, enquanto a Solana trata da camada de transferência.

3 semanas atrás

A Tether ainda detém mais dinheiro, mas o USDC da Circle está agora a mover mais do dinheiro do cripto

Stablecoins · 3 semanas atrás

O XRP Ledger acabou de ultrapassar a Solana em valor de tokenização RWA, e a contagem de detentores revela porquê

Tokenização · 2 meses atrás

Falha aterradora na Solana expõe como a rede “sempre ativa” podia ter sido facilmente travada por hackers

Análise · 2 meses atrás

O ataque público da Solana a Starknet revela como biliões em volume “mercenário” estão a bombar artificialmente as avaliações da rede agora

DeFi · 3 meses atrás

Hacks

O bloqueio do USDC da Circle enfrenta escrutínio adicional depois de wallets bloqueadas e resposta ao roubo atrasada

A Circle pode congelar o USDC rapidamente, mas críticos dizem que casos recentes expuseram padrões de revisão desiguais e risco operacional crescente.

1 dia atrás

Hacks

Circle sob fogo depois de fluxos de USDC roubado de $230M ficarem desbloqueados dias após congelar contas legítimas

O exploit do Drift expõe uma contradição crescente sobre como emissores de stablecoins impõem controlo durante crises.

3 dias atrás

Porque é que hacks de cripto não acabam e continuam mesmo quando o dinheiro já se foi

Análise · 2 semanas atrás

A visão de stablecoins do Tesouro de $2 biliões encontra uma verificação da realidade quando o USD1 descola

Stablecoins · 1 mês atrás

A segurança da reserva de Bitcoin de $28B do governo dos EUA ameaçada após roubo de fim de semana revelar falha

Hacks · 2 meses atrás

Bots “Robin Hood” digitais roubam a hackers mas nem sempre devolvem aos pobres

Hacks · 2 meses atrás

CoinRabbit reduz as taxas de empréstimo em cripto para empréstimos em XRP e 300+ ativos

Com taxas de empréstimo agora a começar nos 11,95%, a CoinRabbit está a expandir empréstimos garantidos por cripto a custos mais baixos em XRP e 300+ ativos suportados.

3 horas atrás

A ADI Chain anuncia a ADI Predictstreet como parceira de mercado de previsão do FIFA World Cup 2026

Apoiada pela ADI Chain, a ADI Predictstreet fará estreia no maior palco do futebol como parceira oficial do mercado de previsão do FIFA World Cup 2026.

3 dias atrás

A bolsa BTCC nomeada Parceira Regional Oficial da Seleção Nacional da Argentina

PR · 4 dias atrás

A Encrypt vai chegar à Solana para suportar mercados de capital encriptados

PR · 6 dias atrás

A Ika vai chegar à Solana para suportar mercados de capital sem bridging

PR · 6 dias atrás

O lançamento do Mainnet L1 TxFlow marca uma nova fase para finanças on-chain multiaplicação

PR · 6 dias atrás

Disclaimer

As opiniões dos nossos autores são apenas as deles e não refletem a opinião da CryptoSlate. Nenhuma das informações que ler na CryptoSlate deve ser considerada conselho de investimento, nem a CryptoSlate endossa qualquer projeto que possa ser mencionado ou ligado neste artigo. Comprar e negociar criptomoedas deve ser considerado uma atividade de alto risco. Por favor, faça a sua própria diligência antes de tomar qualquer ação relacionada com conteúdo dentro deste artigo. Por fim, a CryptoSlate não assume qualquer responsabilidade caso perca dinheiro ao negociar criptomoedas. Para mais informações, consulte os nossos avisos legais da empresa.