Hackers lén lút mã đánh cắp ví tiền điện tử vào một công cụ AI phổ biến chạy mỗi lần

LiteLLM bị cấy mã độc đã biến một cài đặt Python thông thường thành một kẻ đánh cắp bí mật có nhận thức về crypto, quét ví, dữ liệu xác thực của validator Solana và thông tin đăng nhập đám mây mỗi khi Python khởi động.

Vào ngày 24 tháng 3, trong khoảng từ 10:39 UTC đến 16:00 UTC, một kẻ tấn công đã giành được quyền truy cập vào tài khoản của người duy trì đã đăng hai phiên bản độc hại của LiteLLM lên PyPI: 1.82.7 và 1.82.8.

LiteLLM tự quảng bá mình là một giao diện hợp nhất cho hơn 100 nhà cung cấp mô hình ngôn ngữ lớn, một vị trí khiến nó được đặt ngay trong các môi trường phát triển giàu thông tin đăng nhập theo đúng thiết kế. Chỉ số PyPI Stats ghi nhận 96,083,740 lượt tải trong riêng tháng trước.

Hai bản dựng mang các mức độ rủi ro khác nhau. Phiên bản 1.82.7 yêu cầu phải import trực tiếp litellm.proxy để kích hoạt payload của nó, trong khi phiên bản 1.82.8 cài một tệp .pth (litellm_init.pth) vào cài đặt Python.

Tài liệu chính thức của Python xác nhận rằng các dòng lệnh thực thi trong các tệp .pth sẽ chạy ở mọi lần khởi động Python, vì vậy 1.82.8 đã thực thi mà không cần import nào cả. Bất kỳ máy nào đã cài nó đều chạy mã bị xâm phạm ngay khi Python được khởi động lần sau.

FutureSearch ước tính 46,996 lượt tải trong 46 phút, và 1.82.8 chiếm 32,464 lượt trong số đó.

Ngoài ra, nó đếm được 2,337 gói PyPI phụ thuộc vào LiteLLM, với 88% cho phép nằm trong phạm vi phiên bản bị xâm phạm tại thời điểm xảy ra cuộc tấn công.

Trang sự cố của chính LiteLLM đã cảnh báo rằng bất kỳ ai có cây phụ thuộc kéo LiteLLM vào thông qua một ràng buộc bắc cầu không cố định (unpinned transitive constraint) trong khoảng thời gian đó thì nên coi môi trường của mình là có thể đã bị phơi lộ.

Nhóm DSPy xác nhận họ có ràng buộc LiteLLM là “superior or equal to 1.64.0” và cảnh báo rằng các cài đặt mới trong khoảng thời gian này có thể đã phân giải sang các bản dựng bị đầu độc.

Được xây dựng để săn crypto

Việc SafeDep phân tích ngược payload cho thấy mục tiêu nhắm vào crypto là rõ ràng.

Phần mềm độc hại tìm kiếm các tệp cấu hình ví Bitcoin và các tệp wallet*.dat, các thư mục khoá lưu Ethereum keystore, và các tệp cấu hình Solana dưới ~/.config/solana.

SafeDep cho biết bộ thu thập đã được ưu tiên xử lý đặc biệt cho Solana, thể hiện các lượt tìm kiếm có nhắm mục tiêu tới cặp khóa validator, các khóa vote account, và các thư mục triển khai Anchor.

Tài liệu phát triển của Solana đặt đường dẫn mặc định cho CLI keypair tại ~/.config/solana/id.json. Tài liệu về validator của Anza mô tả ba tệp thẩm quyền (authority) cốt lõi cho hoạt động validator và nêu rằng việc đánh cắp authorized withdrawer sẽ trao cho kẻ tấn công toàn quyền điều khiển hoạt động validator và phần thưởng.

Anza cũng cảnh báo rằng khóa rút tiền không bao giờ nên nằm ngay trên máy validator.

SafeDep nói rằng payload đã thu hoạch các khóa SSH, biến môi trường, thông tin đăng nhập đám mây và các bí mật Kubernetes trên nhiều namespace. Khi nó tìm thấy thông tin đăng nhập AWS hợp lệ, nó đã truy vấn AWS Secrets Manager và SSM Parameter Store để lấy thêm thông tin.

Nó cũng tạo các privileged node-setup-* pods trong kube-system và thiết lập tính bền vững thông qua sysmon.py và một systemd unit.

Đối với các đội crypto, rủi ro cộng dồn đi theo một hướng cụ thể. Một infostealer thu thập một tệp ví cùng với cụm mật khẩu (passphrase), secret triển khai (deploy secret), token CI hoặc thông tin xác thực của cluster từ cùng một máy chủ có thể chuyển một sự cố rò rỉ thông tin đăng nhập thành việc rút ví (wallet drain), triển khai hợp đồng độc hại (malicious contract deployment), hoặc bị xâm phạm chữ ký (signer compromise).

Đọc thêm

Curve Finance TVL sụt xuống dưới 1B USD sau khi bị khai thác lỗ hổng Vyper

Token CRV của Curve trở nên biến động mạnh sau cuộc tấn công, khiến dấy lên nỗi sợ về nguy cơ lây lan.

Jul 31, 2023 · Oluwapelumi Adejumo

Phần mềm độc hại đã lắp ghép chính xác tổ hợp các hiện vật (artifacts) đó.

Cuộc tấn công này là một phần của chiến dịch rộng hơn, vì ghi chú sự cố của LiteLLM liên kết vụ xâm phạm với sự cố Trivy trước đó, và cả Datadog lẫn Snyk đều mô tả LiteLLM là một giai đoạn muộn trong chuỗi TeamPCP kéo dài nhiều ngày đã đi qua một số hệ sinh thái phát triển trước khi đến PyPI.

Logic nhắm mục tiêu diễn ra nhất quán trong suốt chiến dịch: một công cụ hạ tầng giàu bí mật cung cấp truy cập nhanh hơn tới các dữ liệu nằm kề ví (wallet-adjacent material).

Các kết cục tiềm tàng cho đợt này

Phương án lạc quan dựa vào tốc độ phát hiện và hiện tại là việc chưa có trộm cắp crypto nào được xác nhận công khai.

PyPI đã cách ly (quarantine) cả hai phiên bản vào khoảng 11:25 UTC vào ngày 24 tháng 3. LiteLLM đã gỡ bỏ các bản dựng độc hại, xoay vòng thông tin đăng nhập người duy trì, và liên hệ Mandiant. Hiện tại, PyPI hiển thị 1.82.6 là bản phát hành mới nhất còn nhìn thấy.

Nếu các nhà phòng thủ đã xoay vòng bí mật, kiểm toán xem có litellm_init.pth hay không, và coi các máy chủ bị phơi lộ là đã “cháy” trước khi kẻ tấn công kịp chuyển các hiện vật bị rò rỉ thành khai thác thực sự, thì thiệt hại sẽ được giữ trong phạm vi chỉ phơi lộ thông tin đăng nhập.

Sự cố cũng đẩy nhanh việc áp dụng các thực hành đã và đang được chú ý. PyPI’s Trusted Publishing thay thế các token API thủ công tồn tại lâu dài bằng danh tính OIDC tồn tại trong thời gian ngắn; khoảng 45,000 dự án đã áp dụng nó vào tháng 11 năm 2025.

CryptoSlate Daily Brief

Tín hiệu hằng ngày, không nhiễu.

Các tiêu đề có tác động đến thị trường và ngữ cảnh được gửi mỗi sáng trong một lượt đọc gọn.

bản tóm tắt 5 phút 100k+ người đọc

Địa chỉ email

Nhận bản tin

Miễn phí. Không spam. Hủy bất kỳ lúc nào.

Ồ, có vẻ như đã xảy ra sự cố. Vui lòng thử lại.

Bạn đã đăng ký. Chào mừng bạn tham gia.

Sự cố của LiteLLM liên quan tới việc lạm dụng thông tin đăng nhập phát hành, khiến việc bác bỏ trường hợp chuyển đổi trở nên khó hơn.

Đối với các đội crypto, sự cố tạo ra tính cấp bách cho việc tách vai trò chặt chẽ hơn: các bộ rút tiền validator “lạnh” được giữ hoàn toàn offline, các signer triển khai được cô lập, các thông tin đăng nhập đám mây tồn tại trong thời gian ngắn, và các đồ thị phụ thuộc bị khóa.

Cả phần ghim nhanh của nhóm DSPy lẫn hướng dẫn sau sự cố của chính LiteLLM đều hướng tới các bản dựng “hermetic” (khép kín) như tiêu chuẩn khắc phục (remediation).

Một dòng thời gian vẽ phạm vi cửa sổ bị xâm phạm của LiteLLM từ 10:39 UTC đến 16:00 UTC ngày 24 tháng 3, chú thích 46,996 lượt tải trực tiếp trong 46 phút và phạm vi “bùng phát” kế tiếp của 2,337 gói PyPI phụ thuộc, trong đó 88% cho phép nằm trong phạm vi phiên bản bị xâm phạm.

Phương án bi quan xoay quanh độ trễ. SafeDep đã ghi nhận một payload đã rò rỉ bí mật, lan truyền bên trong các cụm Kubernetes và cài đặt tính bền vững trước khi phát hiện.

Một nhà vận hành đã cài một phụ thuộc bị đầu độc vào trong một build runner hoặc môi trường được kết nối với cluster vào ngày 24 tháng 3 có thể không phát hiện đầy đủ phạm vi phơi lộ đó trong nhiều tuần. Các khóa API bị rò rỉ, thông tin xác thực triển khai và tệp ví không hết hạn chỉ vì đã phát hiện. Kẻ tấn công có thể giữ chúng và hành động sau đó.

Sonatype đặt mức độ sẵn có độc hại ở “ít nhất hai giờ”; hướng dẫn riêng của LiteLLM bao gồm các lượt cài đến tận 16:00 UTC; và mốc thời gian cách ly của FutureSearch là 11:25 UTC.

Các đội không thể chỉ dựa vào lọc theo mốc thời gian để xác định mức độ phơi lộ, vì các con số này không cho ra một trạng thái “an toàn tuyệt đối” rõ ràng.

Kịch bản nguy hiểm nhất trong nhóm này tập trung vào các môi trường vận hành dùng chung. Một sàn giao dịch crypto, nhà vận hành validator, nhóm bridge, hoặc nhà cung cấp RPC đã cài một phụ thuộc bắc cầu bị đầu độc bên trong một build runner sẽ khiến toàn bộ control plane bị phơi lộ.

Việc đổ bí mật Kubernetes trên các namespace và tạo privileged pod trong namespace kube-system là các công cụ truy cập control-plane được thiết kế cho di chuyển ngang.

Nếu di chuyển ngang đó tiến tới một môi trường nơi có dữ liệu validator ở trạng thái hot hoặc semi-hot trên những máy có thể truy cập được, thì hậu quả có thể dao động từ đánh cắp thông tin đăng nhập của từng người cho tới bị xâm phạm thẩm quyền validator.

Sơ đồ lưu đồ năm giai đoạn truy vết đường đi của cuộc tấn công từ việc cài đặt bắc cầu LiteLLM bị đầu độc, qua việc thực thi tự động khi Python khởi động, thu hoạch bí mật, và mở rộng control-plane Kubernetes tới các kết cục crypto tiềm tàng.

Việc cách ly của PyPI và phản hồi sự cố của LiteLLM đã đóng cửa sổ phân phối đang hoạt động.

Các đội đã cài hoặc nâng cấp LiteLLM vào ngày 24 tháng 3, hoặc chạy các bản dựng với các phụ thuộc bắc cầu không được cố định (unpinned) và phân giải sang 1.82.7 hoặc 1.82.8, nên coi môi trường của mình đã bị xâm phạm hoàn toàn.

Một số hành động bao gồm: xoay vòng tất cả bí mật có thể truy cập từ các máy đã bị phơi lộ, kiểm toán xem có litellm_init.pth hay không, thu hồi và cấp lại các thông tin xác thực đám mây, và xác minh rằng không có dữ liệu thẩm quyền validator nào có thể truy cập được từ các máy chủ đó.

Sự cố LiteLLM ghi lại một lộ trình của kẻ tấn công, người biết chính xác cần tìm những tệp off-chain nào, có một cơ chế phân phối với hàng chục triệu lượt tải mỗi tháng, và đã cài tính bền vững trước khi bất kỳ ai kéo các bản dựng ra khỏi kênh phân phối.

Cỗ máy off-chain dùng để di chuyển và bảo vệ crypto nằm trực tiếp trong đường dẫn tìm kiếm của payload.

Được nhắc tới trong bài viết này

Bitcoin Ethereum Solana

Đăng trong

Nổi bật Hacks Crime Solana Web3

Tác giả Xem hồ sơ →

Gino Matos

Phóng viên • CryptoSlate

Gino Matos là cựu sinh viên tốt nghiệp trường luật và là một nhà báo giàu kinh nghiệm với sáu năm làm việc trong ngành crypto. Chuyên môn của anh chủ yếu tập trung vào hệ sinh thái blockchain của Brazil và các phát triển trong tài chính phi tập trung (DeFi).

@pelicamatos LinkedIn

Biên tập viên Xem hồ sơ →

Liam ‘Akiba’ Wright

Tổng biên tập • CryptoSlate

Cũng được biết đến với tên “Akiba”, Liam Wright là Tổng biên tập tại CryptoSlate và người dẫn của SlateCast. Anh tin rằng công nghệ phi tập trung có tiềm năng tạo ra thay đổi tích cực trên diện rộng.

@akibablade LinkedIn

Bối cảnh

Tin liên quan

Chuyển danh mục để xem sâu hơn hoặc có thêm ngữ cảnh.

Solana Tin mới nhất Hacks Mục hàng đầu Thông cáo báo chí Newswire

Quy định

SEC giảm mạnh áp lực KYC đối với Bitcoin, XRP và Solana với các quy tắc crypto được cải tiến

SEC định nghĩa lại bối cảnh crypto bằng một hệ thống phân loại mới, đặt ra ranh giới và tạo chỗ cho đổi mới về quyền riêng tư.

3 tuần trước

Token hóa

Wall Street đang xây dựng trên Solana dù tiếng tăm về memecoin

Cấu trúc đúc và hoàn trả 24/5 của Ondo giữ các chứng khoán với các công ty môi giới-đại lý, trong khi Solana xử lý lớp chuyển giao.

3 tuần trước

Tether vẫn nắm giữ nhiều tiền mặt hơn, nhưng USDC của Circle hiện đang đẩy nhiều tiền crypto hơn

Stablecoins · 3 tuần trước

XRP Ledger vừa vượt Solana về giá trị token hóa RWA và số lượng người nắm giữ cho thấy vì sao

Tokenization · 2 tháng trước

Lỗ hổng Solana đáng sợ vừa lộ ra việc mạng “luôn bật” đã có thể bị hacker làm đình trệ dễ dàng thế nào

Analysis · 2 tháng trước

Cuộc tấn công công khai của Solana vào Starknet cho thấy cách hàng chục tỷ “mercenary” volume đang bơm nhân tạo định giá mạng ngay lúc này

DeFi · 3 tháng trước

Hacks

Cơ chế đóng băng USDC của Circle vấp phải sự giám sát mới sau khi bị khóa ví và phản hồi trộm cắp bị trễ

Circle có thể đóng băng USDC nhanh, nhưng người chỉ trích nói rằng các trường hợp gần đây đã phơi bày các tiêu chuẩn xét duyệt không đồng đều và rủi ro vận hành ngày càng tăng.

1 ngày trước

Hacks

Circle bị tấn công sau khi 230M USD USDC bị đánh cắp được mở khóa vài ngày sau khi đóng băng tài khoản hợp lệ

Lỗ hổng Drift cho thấy một mâu thuẫn ngày càng tăng trong cách các nhà phát hành stablecoin thực thi quyền kiểm soát trong khủng hoảng.

3 ngày trước

Vì sao các vụ hack crypto không dừng lại và vẫn tiếp diễn ngay cả khi tiền đã mất

Analysis · 2 tuần trước

Tầm nhìn 2 nghìn tỷ USD của Treasury cho stablecoin gặp một phép kiểm tra thực tế khi USD mất neo giá

Stablecoins · 1 tháng trước

Bảo mật dự trữ Bitcoin 28B USD của chính phủ Mỹ bị đe dọa sau vụ trộm vào cuối tuần lộ ra điểm yếu

Hacks · 2 tháng trước

Bot “Robin Hood” số hóa ăn cắp từ hacker nhưng không phải lúc nào cũng trả lại cho người nghèo

Hacks · 2 tháng trước

CoinRabbit giảm lãi suất cho vay crypto đối với khoản vay XRP và 300+ tài sản

Với lãi suất cho vay hiện bắt đầu từ 11,95%, CoinRabbit đang mở rộng hình thức vay mượn crypto được đảm bảo chi phí thấp hơn trên XRP và 300+ tài sản được hỗ trợ.

3 giờ trước

ADI Chain công bố ADI Predictstreet là Đối tác Thị trường Dự đoán cho FIFA World Cup 2026

Được hậu thuẫn bởi ADI Chain, ADI Predictstreet sẽ ra mắt trên sân khấu bóng đá lớn nhất thế giới với tư cách là đối tác chính thức của thị trường dự đoán FIFA World Cup 2026.

3 ngày trước

Sàn BTCC được chỉ định là Đối tác Khu vực Chính thức của Đội tuyển Quốc gia Argentina

PR · 4 ngày trước

Encrypt sắp đến với Solana để cung cấp các thị trường vốn được mã hóa

PR · 6 ngày trước

Ika sắp đến với Solana để cung cấp các thị trường vốn không cần cầu nối

PR · 6 ngày trước

TxFlow L1 ra mắt Mainnet đánh dấu một giai đoạn mới cho tài chính On-Chain đa ứng dụng

PR · 6 ngày trước

Disclaimer

Ý kiến của các tác giả chỉ thuộc về bản thân họ và không phản ánh ý kiến của CryptoSlate. Không có bất kỳ thông tin nào bạn đọc trên CryptoSlate nên được coi là lời khuyên đầu tư, và CryptoSlate cũng không ủng hộ bất kỳ dự án nào có thể được nhắc tới hoặc liên kết tới trong bài viết này. Việc mua và giao dịch tiền mã hóa nên được xem là hoạt động rủi ro cao. Vui lòng tự thực hiện thẩm định của riêng bạn trước khi thực hiện bất kỳ hành động nào liên quan đến nội dung trong bài viết này. Cuối cùng, CryptoSlate không chịu trách nhiệm nếu bạn bị mất tiền khi giao dịch tiền mã hóa. Để biết thêm thông tin, vui lòng xem các tuyên bố miễn trách nhiệm của công ty chúng tôi.