Хакери підмішали код крадіжки криптовалютних гаманців у популярний інструмент штучного інтелекту, який запускається щоразу

Отруєний реліз LiteLLM перетворив звичайну установку Python на криптоорієнтований викрадач секретів, який щоразу під час запуску Python шукав гаманці, матеріали валідатора Solana та облікові дані хмарних сервісів.

24 березня, між 10:39 UTC і 16:00 UTC, зловмисник, який отримав доступ до акаунта підтримувача, опублікував у PyPI дві шкідливі версії LiteLLM: 1.82.7 і 1.82.8.

LiteLLM позиціонує себе як уніфікований інтерфейс для понад 100 постачальників великих мовних моделей, і це розміщує її всередині середовищ розробників, багатих на облікові дані, за задумом. PyPI Stats фіксує 96,083,740 завантажень лише за останній місяць.

Дві збірки несли різні рівні ризику. Версія 1.82.7 вимагала прямого імпорту litellm.proxy, щоб активувати її корисне навантаження, тоді як версія 1.82.8 вклала .pth-файл (litellm_init.pth) в інсталяцію Python.

Власна документація Python підтверджує, що виконувані рядки у .pth-файлах запускаються на кожному старті Python, тож 1.82.8 виконувалась без жодного імпорту взагалі. Будь-яка машина, на якій вона була встановлена, запускала скомпрометований код у момент наступного запуску Python.

FutureSearch оцінює 46,996 завантажень за 46 хвилин, причому 32,464 із них припадає на 1.82.8.

Крім того, він порахував 2,337 пакетів PyPI, які залежали від LiteLLM, і 88% із них у той момент дозволяли діапазон скомпрометованих версій під час атаки.

Власна сторінка інциденту LiteLLM попереджала, що будь-хто, чиє дерево залежностей під час вікна підтягує LiteLLM через неприкріплене (unpinned) транзитивне обмеження, має вважати своє середовище потенційно скомпрометованим.

Команда DSPy підтвердила, що мала обмеження LiteLLM «superior or equal to 1.64.0» і попередила, що свіжі інсталяції під час вікна могли зійти до отруєних збірок.

Створено, щоб полювати на крипту

Зворотна інженерія корисного навантаження від SafeDep робить криптонаціленість очевидною.

Шкідливе ПЗ шукало файли конфігурації гаманців Bitcoin і файли wallet*.dat, директорії keystore для Ethereum, а також файли конфігурації Solana в ~/.config/solana.

SafeDep каже, що збирач надав Solana особливе ставлення, демонструючи цільові пошуки пар ключів валідатора, ключів голосування (vote account keys) і директорій deploy Anchor.

Документація для розробників Solana встановлює шлях за замовчуванням до CLI-пари ключів у ~/.config/solana/id.json. Документація Anza щодо валідаторів описує три файли авторитету, центральні для роботи валідатора, і зазначає, що викрадення authorized withdrawer дає зловмиснику повний контроль над операціями валідатора та винагородами.

Anza також попереджає, що ключ для відкликання (withdrawal) ніколи не має знаходитися безпосередньо на машині валідатора.

SafeDep стверджує, що корисне навантаження збирало SSH-ключі, змінні середовища, облікові дані хмарних сервісів і секрети Kubernetes у різних namespace. Коли воно знаходило дійсні облікові дані AWS, воно запитувало AWS Secrets Manager та SSM Parameter Store для додаткової інформації.

Він також створив привілейовані pod-об’єкти node-setup-* у kube-system і встановив персистентність через sysmon.py та системний unit (systemd).

Для криптокоманд накопичений ризик рухається в конкретному напрямку. Інфостілер, який збирає файл гаманця разом із парольним фразою, секретом deploy, CI-токеном або обліковими даними кластера з того самого хоста, може перетворити інцидент із обліковими даними на «злив» гаманця, зловмисне розгортання контракту або компрометацію сейнера (signer).

Related Reading

Curve Finance TVL падає нижче $1B після експлойту уразливості Vyper

Токен CRV Curve став надзвичайно волатильним після атаки, що викликало страхи щодо «зараження».

Jul 31, 2023 · Oluwapelumi Adejumo

Це шкідливе ПЗ зібрало рівно ту комбінацію артефактів.

Ця атака є частиною ширшої кампанії, адже примітка про інцидент LiteLLM пов’язує компрометацію з попереднім інцидентом Trivy, а Datadog і Snyk обидві описують LiteLLM як пізніший етап у багатоденній ланцюжковій атаці TeamPCP, яка пройшла через кілька екосистем розробників, перш ніж дістатися PyPI.

Логіка націлювання працює послідовно впродовж усієї кампанії: інфраструктурний інструментарій, багатий на секрети, дає швидший доступ до матеріалів, близьких до гаманців.

Можливі наслідки для цього епізоду

«Бичачий» сценарій спирається на швидкість виявлення та на те, що наразі немає публічно підтверджених випадків викрадення крипти.

PyPI ізолював обидві версії приблизно о 11:25 UTC 24 березня. LiteLLM видалив шкідливі збірки, повернув (rotated) облікові дані підтримувача та залучив Mandiant. Наразі PyPI показує 1.82.6 як останній видимий реліз.

Якщо захисники ротували секрети, виконали аудит на litellm_init.pth і вважали скомпрометовані хости «випаленими» до того, як противники могли перетворити ексфільтровані артефакти на активну експлуатацію, тоді шкода лишається обмеженою витоком облікових даних.

Інцидент також пришвидшує впровадження практик, які вже набирають обертів. Trusted Publishing PyPI замінює довготривалі ручні API-токени короткоживучою ідентичністю, підкріпленою OIDC; до листопада 2025 року її застосували приблизно 45,000 проєктів.

CryptoSlate Daily Brief

Щоденні сигнали, нуль шуму.

Заголовки, що рухають ринок, і контекст — кожного ранку в одному стислому читанні.

5-хвилинний дайджест 100k+ читачів

Email address

Get the brief

Безкоштовно. Ніякого спаму. Можна відписатися будь-коли.

Вибачте, схоже, виникла проблема. Спробуйте ще раз.

Ви підписані. Ласкаво просимо на борт.

Інцидент із LiteLLM включав зловживання обліковими даними релізу, через що значно важче відмахнутися від кейсу щодо переходу.

Для криптокоманд інцидент створює терміновість для суворішого розділення ролей: cold validator withdrawers повністю офлайн, ізольовані deploy signers, короткоживучі облікові дані хмарних сервісів і заблоковані графи залежностей.

Швидке фіксування (pinning) від команди DSPy та власні рекомендації LiteLLM після інциденту вказують на hermetic builds як стандарт для відновлення (remediation).

Таймлайн відкладає вікно компрометації LiteLLM з 10:39 UTC до 16:00 UTC 24 березня, анотує 46,996 прямих завантажень за 46 хвилин і подальший вплив (blast radius) у вигляді 2,337 залежних пакетів PyPI, з яких 88% дозволили діапазон скомпрометованих версій.

«Ведмежий» сценарій спирається на затримку. SafeDep задокументував корисне навантаження, яке ексфільтрувало секрети, поширювалося всередині кластерів Kubernetes і встановлювало персистентність до моменту виявлення.

Оператор, який 24 березня встановив отруєну залежність у середовище runner для збірок або середовище, підключене до кластера, може не виявити повний масштаб цього впливу протягом тижнів. Ексфільтровані API-ключі, облікові дані deploy і файли гаманця не закінчуються автоматично після виявлення. Противники можуть утримувати їх і діяти пізніше.

Sonatype оцінює шкідливу доступність як «щонайменше дві години»; власні рекомендації LiteLLM покривають інсталяції до 16:00 UTC; а quarantine timestamp FutureSearch — 11:25 UTC.

Команди не можуть покладатися лише на фільтрацію за таймстемпами, щоб визначити рівень свого впливу, оскільки ці цифри не дають чіткого «все добре».

Найнебезпечніший сценарій у цій категорії зосереджується на спільних середовищах оператора. Криптобіржа, оператор валідатора, команда bridge або постачальник RPC, які встановили отруєну транзитивну залежність у build runner, могли б розкрити всю контрольну площину.

Звалища секретів Kubernetes між namespace та створення привілейованих pod у namespace kube-system — це інструменти доступу до контрольної площини, призначені для бічного руху (lateral movement).

Якщо такий бічний рух дійшов до середовища, де «гарячий» або напівгарячий матеріал валідатора був присутній на машинах, які можна досягнути, наслідки можуть варіюватися від викрадення окремих облікових даних до компрометації авторитету валідатора.

Схема-діаграма на п’ять етапів відстежує шлях атаки: від отруєної транзитивної інсталяції LiteLLM через автоматичне виконання при старті Python, збір секретів і розширення доступу до контрольної площини Kubernetes до потенційних криптонаслідків.

Ізоляція (quarantine) PyPI та реагування на інцидент LiteLLM закрили активне «вікно розповсюдження».

Команди, які встановили або оновили LiteLLM 24 березня, або запускали збірки з неприкріпленими (unpinned) транзитивними залежностями, що розв’язалися до 1.82.7 чи 1.82.8, мають вважати свої середовища повністю скомпрометованими.

Деякі дії включають ротацію всіх секретів, доступних з уражених машин, аудит на litellm_init.pth, відкликання (revoking) і повторне випускання облікових даних хмарних сервісів, а також перевірку, що з цих хостів не доступний жоден матеріал авторитету валідатора.

Інцидент із LiteLLM описує шлях атакувальника, який точно знав, які файли off-chain шукати, мав механізм доставки з десятками мільйонів завантажень на місяць і вбудував персистентність до того, як хтось витягнув ці збірки з дистрибуції.

Бездротова (off-chain) машинерія, що переміщує та захищає крипту, перебувала безпосередньо на шляху пошуку в межах корисного навантаження.

Згадано в цій статті

Bitcoin Ethereum Solana

Опубліковано в

Featured Hacks Crime Solana Web3

Автор Переглянути профіль →

Gino Matos

Репортер • CryptoSlate

Gino Matos — випускник юридичної школи та досвідчений журналіст із шістьма роками роботи в криптосфері. Його компетенція насамперед зосереджена на бразильській блокчейн-екосистемі та розвитку в децентралізованих фінансах (DeFi).

@pelicamatos LinkedIn

Редактор Переглянути профіль →

Liam ‘Akiba’ Wright

Головний редактор • CryptoSlate

Також відомий як «Akiba», Liam Wright є головним редактором у CryptoSlate та ведучим SlateCast. Він вважає, що децентралізовані технології здатні спричинити широкомасштабні позитивні зміни.

@akibablade LinkedIn

Контекст

Дотичне висвітлення

Перемикайте категорії, щоб зануритися глибше або отримати ширший контекст.

Solana Останні новини Hacks Топ-категорія Прес-релізи Ланцюжок новин

Регулювання

SEC суттєво знижує тиск KYC на Bitcoin, XRP і Solana завдяки переробленим правилам для крипти

SEC переосмислює крипто-ландшафт новою таксономією, задаючи межі та надаючи простір для інновацій у приватності.

3 тижні тому

Токенізація

Wall Street будує на Solana попри її репутацію memecoin

Структура mint і redeem Ondo 24/5 зберігає цінні папери з брокерами-дилерами, тоді як Solana обробляє рівень передачі.

3 тижні тому

Tether досі тримає більше готівки, але USDC Circle тепер рухає більше грошей у крипті

Stablecoins · 3 тижні тому

XRP Ledger щойно випередив Solana за цінністю токенізації RWA — і кількість учасників розкриває чому

Tokenization · 2 місяці тому

Жахлива вразливість Solana щойно показала, наскільки легко мережу “always-on” можна було зупинити хакерами

Analysis · 2 місяці тому

Публічна атака Solana на Starknet показує, як уже зараз штучно розганяються оцінки мережі на основі “найлманців” (mercenary) на мільярди обсягів

DeFi · 3 місяці тому

Hacks

Заморозка USDC від Circle отримує нову перевірку після заблокованих гаманців і затримки відповіді на крадіжку

Circle може швидко заморожувати USDC, але критики кажуть, що нещодавні кейси виявили нерівномірні стандарти перевірки та зростаючий операційний ризик.

1 день тому

Hacks

Circle під вогнем критики після того, як $230M вкраденого USDC розблокували через дні після заморожування легітимних акаунтів

Експлойт Drift демонструє зростаючу суперечність у тому, як емітенти стейблкоїнів застосовують контроль під час криз.

3 дні тому

Чому крипто-експлойти не закінчуються і тривають навіть тоді, коли гроші вже зникли

Analysis · 2 тижні тому

Візія стейблкоїнів Treasury на $2 трлн стикається з перевіркою реальністю, коли USD1 втрачає прив’язку

Stablecoins · 1 місяць тому

Безпека резерву Bitcoin уряду США на $28B під загрозою після крадіжки у вихідні, яка виявила ваду

Hacks · 2 місяці тому

Цифрові “робін-гуди” (Robin Hood) боти крадуть у хакерів, але не завжди віддають бідним

Hacks · 2 місяці тому

CoinRabbit знижує ставки криптокредитування для позик XRP та 300+ активів

Після того як ставки кредитування почали стартувати з 11.95%, CoinRabbit розширює кредитування під заставу крипти з нижчою вартістю для XRP і 300+ підтримуваних активів.

3 години тому

ADI Chain оголошує ADI Predictstreet як партнера ринку прогнозів FIFA World Cup 2026

Підтримуваний ADI Chain, ADI Predictstreet дебютує на найбільшій футбольній сцені як офіційний партнер ринку прогнозів FIFA World Cup 2026.

3 дні тому

Біржа BTCC названа офіційним регіональним партнером національної збірної Аргентини

PR · 4 дні тому

Encrypt йде на Solana, щоб забезпечити роботу для зашифрованих ринків капіталу

PR · 6 днів тому

Ika йде на Solana, щоб забезпечити безмісткові (bridgeless) ринки капіталу

PR · 6 днів тому

Запуск основної мережі TxFlow L1 позначає новий етап для багатододатного on-chain фінансування

PR · 6 днів тому

Disclaimer

Мнения наших авторів є виключно їхніми власними та не відображають думку CryptoSlate. Жодну інформацію, яку ви читаєте на CryptoSlate, не слід розглядати як інвестиційну пораду, і CryptoSlate не підтримує жоден проєкт, який може згадуватися або бути пов’язаним із цією статтею. Покупка та торгівля криптовалютами мають вважатися діяльністю з високим рівнем ризику. Будь ласка, проведіть власну належну перевірку (due diligence), перш ніж вчиняти будь-які дії, пов’язані зі змістом цієї статті. Нарешті, CryptoSlate не несе відповідальності, якщо ви втратите гроші під час торгівлі криптовалютами. Для отримання додаткової інформації дивіться наші корпоративні застереження (disclaimers).