Хакеры внедрили код для кражи криптовалютных кошельков в популярный инструмент ИИ, который запускается каждый раз

Зараженный релиз LiteLLM превратил обычную установку Python в крипто-ориентированный шпион за секретами, который при каждом запуске Python искал кошельки, материалы валидатора Solana и облачные учетные данные.

24 марта, между 10:39 UTC и 16:00 UTC, злоумышленник, получивший доступ к учетной записи мейнтейнера, опубликовал в PyPI две вредоносные версии LiteLLM: 1.82.7 и 1.82.8.

LiteLLM позиционирует себя как единый интерфейс более чем к 100 крупным провайдерам языковых моделей — такой подход по замыслу помещает ее в среды разработки, насыщенные учетными данными. В статистике PyPI зафиксировано 96,083,740 загрузок только за последний месяц.

Обе сборки несли разный уровень риска. Версия 1.82.7 требовала прямого импорта litellm.proxy, чтобы активировать полезную нагрузку, тогда как версия 1.82.8 разместила .pth-файл (litellm_init.pth) в установке Python.

Собственная документация Python подтверждает, что исполняемые строки в .pth-файлах запускаются при каждом старте Python, поэтому 1.82.8 выполнялась без какого-либо импорта. Любая машина, на которой она была установлена, запускала скомпрометированный код в момент следующего запуска Python.

FutureSearch оценивает 46,996 загрузок за 46 минут, причем на 1.82.8 приходится 32,464 из них.

Кроме того, он насчитал 2,337 пакетов PyPI, которые зависели от LiteLLM, причем 88% допускали диапазон скомпрометированной версии на момент атаки.

На своей странице инцидента LiteLLM предупреждает, что любой, чье дерево зависимостей подтянуло LiteLLM через неприбитое (unpinned) транзитивное ограничение в указанное окно, должен рассматривать свою среду как потенциально уязвимую.

Команда DSPy подтвердила, что имела ограничение LiteLLM «superior or equal to 1.64.0», и предупредила, что свежие установки в течение этого окна могли разрешиться на зараженные сборки.

Создано для охоты за крипто

Обратная инженерия полезной нагрузки SafeDep делает крипто-таргетинг явным.

Вредоносная программа искала файлы конфигурации кошельков Bitcoin и файлы wallet*.dat, каталоги хранилищ ключей Ethereum и файлы конфигурации Solana под ~/.config/solana.

SafeDep утверждает, что коллектор уделил Solana особое внимание, демонстрируя прицельные поиски пар ключей валидатора, ключей аккаунтов голосования и директорий деплоя Anchor.

Разработческая документация Solana задает путь по умолчанию для CLI-пары ключей в ~/.config/solana/id.json. Документация по валидаторам Anza описывает три файла авторитетов, центральных для работы валидатора, и указывает, что кража авторизованного withdrawer дает злоумышленнику полный контроль над операциями валидатора и вознаграждениями.

Anza также предупреждает, что ключ вывода (withdrawal) никогда не должен находиться на самой машине валидатора.

SafeDep говорит, что полезная нагрузка собирала SSH-ключи, переменные окружения, облачные учетные данные и Kubernetes-секреты в разных namespace. Когда она находила действительные AWS-учетные данные, она запрашивала в AWS Secrets Manager и SSM Parameter Store дополнительные сведения.

Она также создавала привилегированные pod’ы node-setup-* в kube-system и обеспечивала сохранение (persistence) через sysmon.py и systemd unit.

Для крипто-команд суммарный риск движется в конкретном направлении. Инфостилер, который собирает файл кошелька вместе с парольной фразой, секретом деплоя, CI-токеном или учетными данными кластера с того же хоста, может превратить инцидент с учетными данными в слив кошелька, в развертывание вредоносного контракта или в компрометацию подписанта.

Related Reading

Curve Finance TVL упал ниже $1B после эксплуатации уязвимости Vyper

Токен CRV Curve стал крайне волатильным после атаки, вызвав опасения по поводу «цепного заражения».

Jul 31, 2023 · Oluwapelumi Adejumo

Вредоносная программа собрала ровно эту комбинацию артефактов.

Эта атака является частью более широкой кампании: заметка о инциденте LiteLLM связывает компрометацию с более ранним инцидентом Trivy, а Datadog и Snyk оба описывают LiteLLM как более поздний этап в многодневной цепочке TeamPCP, которая прошла через несколько экосистем разработчиков, прежде чем попасть в PyPI.

Логика таргетинга сохраняется по всей кампании: инструмент инфраструктуры, насыщенный секретами, обеспечивает более быстрый доступ к материалу, связанному с кошельками.

Потенциальные исходы для этого эпизода

Сильная сторона (bull case) держится на скорости обнаружения и, по состоянию на сейчас, отсутствии публично подтвержденной кражи крипто.

PyPI поместил обе версии в карантин примерно к 11:25 UTC 24 марта. LiteLLM удалил вредоносные сборки, ротацировал учетные данные мейнтейнера и подключил Mandiant. В настоящее время PyPI показывает 1.82.6 как последнюю видимую релиз-версию.

Если защитники ротацировали секреты, провели аудит на наличие litellm_init.pth и воспринимали скомпрометированные хосты как «сожженные» до того, как злоумышленники могли превратить эксфильтрованные артефакты в активную эксплуатацию, то ущерб останется ограниченным раскрытием учетных данных.

Инцидент также ускоряет внедрение практик, которые уже набирают обороты. Trusted Publishing в PyPI заменяет долгоживущие ручные API-токены на краткоживущую идентичность, поддерживаемую OIDC: к ноябрю 2025 года его приняли около 45,000 проектов.

CryptoSlate Daily Brief

Ежедневные сигналы, ноль шума.

Заголовки, влияющие на рынок, и контекст доставляются каждое утро в одном кратком чтении.

5-minute digest 100k+ readers

Email address

Get the brief

Free. No spam. Unsubscribe any time.

Whoops, looks like there was a problem. Please try again.

You’re subscribed. Welcome aboard.

Инцидент с LiteLLM включал злоупотребление релизными учетными данными, из-за чего теперь гораздо сложнее списать случай на смену.

Для крипто-команд инцидент создает срочность для более строгого разделения ролей: холодные withdrawer’ы валидаторов держатся полностью офлайн, изолируются подписанты деплоя, используются краткоживущие облачные учетные данные и блокируются графы зависимостей.

Быстрая фиксация зависимостей командой DSPy и собственные рекомендации LiteLLM после инцидента указывают на герметичные (hermetic) сборки как стандарт устранения последствий.

Таймлайн отображает окно компрометации LiteLLM с 10:39 UTC до 16:00 UTC 24 марта, с пометками о 46,996 прямых загрузках за 46 минут и о дальнейшем «радиусе взрыва» в 2,337 зависимых пакетов PyPI, причем 88% из них разрешали диапазон скомпрометированной версии.

Слабая сторона (bear case) — это задержка. SafeDep задокументировал полезную нагрузку, которая эксфильтровала секреты, распространялась внутри кластеров Kubernetes и устанавливала persistence до обнаружения.

Оператор, который 24 марта установил зараженную зависимость внутри build runner или в окружении, подключенном к кластеру, может не обнаружить полную масштабность этого раскрытия в течение недель. Эксфильтрованные API-ключи, учетные данные для деплоя и файлы кошельков не истекают после обнаружения. Злоумышленники могут удерживать их и действовать позже.

Sonatype оценивает вредоносную доступность как «минимум два часа»; собственные рекомендации LiteLLM охватывают установки до 16:00 UTC; а карантинный таймштамп FutureSearch — 11:25 UTC.

Команды не могут полагаться только на фильтрацию по времени, чтобы определить свою степень воздействия, поскольку эти цифры не дают четкого «всё чисто».

Самый опасный сценарий в этом классе сосредоточен на общих средах операторов. Криптобиржа, оператор валидатора, бридж-команда или провайдер RPC, которые установили зараженную транзитивную зависимость внутри build runner, раскрыли бы целую control plane.

Сбросы секретов Kubernetes across namespaces и создание привилегированных pod’ов в namespace kube-system — это инструменты доступа к control plane, предназначенные для бокового перемещения.

Если такое боковое перемещение дошло до окружения, где на достижимых машинах присутствовали hot или semi-hot материалы валидатора, последствия могли бы варьироваться от кражи отдельных учетных данных до компрометации authority валидатора.

Диаграмма потоков из пяти этапов прослеживает путь атаки: от зараженной транзитивной установки LiteLLM до автоматического исполнения при старте Python, сбора секретов и расширения control plane Kubernetes — вплоть до потенциальных исходов для крипто.

Карантин PyPI и ответ на инцидент LiteLLM закрыли активное «окно распространения».

Команды, которые установили или обновили LiteLLM 24 марта, или запускали сборки с неприбитыми транзитивными зависимостями, которые разрешились в 1.82.7 или 1.82.8, должны считать свои среды полностью скомпрометированными.

Некоторые действия включают ротацию всех секретов, доступных с скомпрометированных машин, аудит на наличие litellm_init.pth, отзыв и перевыпуск облачных учетных данных, а также проверку того, что с этих хостов не был доступен никакой материал authority валидатора.

Инцидент LiteLLM документирует путь атакующего, который точно знал, какие off-chain файлы искать, имел механизм доставки с десятками миллионов загрузок в месяц и заранее обеспечил persistence до того, как кто-либо вытащил сборки из распространения.

Off-chain механика, которая перемещает и защищает крипто, находилась прямо в поисковом пути полезной нагрузки.

Упомянуто в этой статье

Bitcoin Ethereum Solana

Опубликовано в

Featured Hacks Crime Solana Web3

Автор View profile →

Gino Matos

Reporter • CryptoSlate

Gino Matos — выпускник юридической школы и опытный журналист с шестилетним опытом работы в криптоиндустрии. Его экспертиза в первую очередь сосредоточена на бразильской блокчейн-экосистеме и разработках в децентрализованных финансах (DeFi).

@pelicamatos LinkedIn

Editor View profile →

Liam ‘Akiba’ Wright

Editor-in-Chief • CryptoSlate

Также известный как «Akiba», Лиам Райт — главный редактор CryptoSlate и ведущий SlateCast. Он считает, что децентрализованные технологии способны принести широкомасштабные позитивные изменения.

@akibablade LinkedIn

Контекст

Похожие материалы

Переключайте категории, чтобы углубиться или получить более широкий контекст.

Solana Latest News Hacks Top Category Press Releases Newswire

Регулирование

SEC существенно снижает давление KYC на Bitcoin, XRP и Solana с пересмотренными крипто-правилами

SEC переопределяет крипто-ландшафт с новой таксономией, устанавливая границы и предоставляя пространство для инноваций в сфере приватности.

3 weeks ago

Токенизация

Wall Street строит на Solana, несмотря на репутацию ее memecoin’ов

Структура mint/redeem 24/5 от Ondo сохраняет ценные бумаги у брокеров-дилеров, а Solana выполняет роль слоя передачи.

3 weeks ago

Tether все еще удерживает больше наличных, но USDC от Circle теперь движется с большей долей денег крипто

Stablecoins · 3 weeks ago

XRP Ledger только что обогнал Solana в стоимости токенизации RWA, а число держателей раскрывает почему

Tokenization · 2 months ago

Ужасная уязвимость Solana: показано, насколько легко «always-on» сеть могла быть остановлена хакерами

Analysis · 2 months ago

Публичная атака Solana на Starknet показывает, как прямо сейчас миллиарды в «наемном» объеме искусственно раздувают оценки сети

DeFi · 3 months ago

Hacks

Заморозка USDC от Circle усиливает проверку после заблокированных кошельков и задержки ответа на кражу

Circle может быстро замораживать USDC, но критики говорят, что недавние случаи выявили неоднородные стандарты проверки и растущий операционный риск.

1 day ago

Hacks

Circle под огнем после того, как $230M в украденном USDC были разблокированы спустя дни после заморозки законных аккаунтов

Эксплойт Drift демонстрирует растущее противоречие в том, как эмитенты стейблкоинов обеспечивают контроль во время кризисов.

3 days ago

Почему криптохакерские атаки не заканчиваются и продолжаются даже когда деньги уже ушли

Analysis · 2 weeks ago

Видение стейблкоинов на $2 трлн от казначейства сталкивается с проверкой реальностью, когда USD1 отклоняется

Stablecoins · 1 month ago

Угроза безопасности резервов Bitcoin правительства США на $28B после кражи в эти выходные выявляет уязвимость

Hacks · 2 months ago

Цифровые «робин гуды» — боты крадут у хакеров, но не всегда возвращают бедным

Hacks · 2 months ago

CoinRabbit снижает ставки криптокредитования для займов в XRP и 300+ активов

Теперь ставки по займам начинаются с 11.95%, CoinRabbit расширяет более дешевое кредитование под залог крипто в рамках XRP и 300+ поддерживаемых активов.

3 hours ago

ADI Chain объявляет ADI Predictstreet партнером по рынку прогнозов FIFA World Cup 2026

Поддерживаемый ADI Chain, ADI Predictstreet дебютирует на самом большом футбольном этапе как официальный партнер по рынку прогнозов FIFA World Cup 2026.

3 days ago

Биржа BTCC названа официальным региональным партнером национальной сборной Аргентины

PR · 4 days ago

Encrypt идет на Solana, чтобы обеспечить работу зашифрованных рынков капитала

PR · 6 days ago

Ika идет на Solana, чтобы обеспечить бесшлюзовые рынки капитала (Bridgeless)

PR · 6 days ago

Запуск мейннета TxFlow L1 знаменует новую фазу для много-application on-chain финансов

PR · 6 days ago

Disclaimer

Мнения наших авторов принадлежат только им самим и не отражают мнение CryptoSlate. Ни одну из сведений, которые вы читаете на CryptoSlate, нельзя воспринимать как инвестиционный совет, и CryptoSlate не поддерживает ни один проект, который может упоминаться или быть связан с в этой статье. Покупка и торговля криптовалютами должны рассматриваться как высокорисковая деятельность. Пожалуйста, проведите собственную проверку (due diligence), прежде чем предпринимать любые действия, связанные с содержимым этой статьи. Наконец, CryptoSlate не несет ответственности, если вы потеряете деньги, торгуя криптовалютами. Для получения дополнительной информации ознакомьтесь с нашими юридическими оговорками компании.