1M AI News এর মনিটরিং অনুযায়ী, OpenAI-এর প্রতিষ্ঠাতা সদস্য অ্যান্ড্রেজ কারপাথি একটি পোস্টে বলেছেন যে AI এজেন্ট ডেভেলপমেন্ট টুল LiteLLM-এর উপর সরবরাহ শৃঙ্খল আক্রমণটি হল "আধুনিক সফটওয়্যারের মধ্যে সবচেয়ে ভয়ঙ্কর বিষয়।" LiteLLM-এর মাসিক ডাউনলোড 9.7 কোটি, এবং v1.82.7 এবং v1.82.8 সংস্করণগুলি PyPI থেকে সরিয়ে দেওয়া হয়েছে।
শুধু একটি কমান্ড pip install litellm দিয়েই মেশিনের SSH কী, AWS/GCP/Azure ক্লাউড যাচাইকরণ তথ্য, Kubernetes কনফিগারেশন, git যাচাইকরণ তথ্য, পরিবেশ চলক (সমস্ত API কী সহ), শেল ইতিহাস, এনক্রিপ্টেড ওয়ালেট, SSL প্রাইভেট কী, CI/CD কী এবং ডাটাবেস পাসওয়ার্ড চুরি করা যায়। ক্ষতিকর কোড 4096-বিট RSA এনক্রিপশনের মাধ্যমে ডেটা models.litellm.cloud নামের একটি প্রতারণামূলক ডোমেইনে পাঠায়, এবং Kubernetes ক্লাস্টারের kube-system নেমস্পেসে একটি প্রিভিলেজড কন্টেইনার তৈরি করে স্থায়ী ব্যাকডোর ইনস্টল করার চেষ্টা করে।
আরও বিপজ্জনক বিষয় হল সংক্রমণ: LiteLLM-এর উপর নির্ভরশীল যে কোনও প্রকল্প প্রভাবিত হবে, যেমন `pip install dspy` (যা litellm>=1.64.0-এর উপর নির্ভরশীল) একইভাবে ম্যালওয়্যার কোড ট্রিগার করে। এই দূষিত সংস্করণটি PyPI-তে কেবলমাত্র প্রায় এক ঘন্টা ধরে বিদ্যমান ছিল, যা খুব বিচিত্রভাবে আবিষ্কৃত হয়েছিল: হামলাকারীদের নিজস্ব ম্যালওয়্যার কোডের একটি বাগ ছিল, যা মেমোরি শেষ হয়ে ক্র্যাশের কারণ হয়েছিল। AI প্রোগ্রামিং টুল Cursor-এ MCP প্লাগইন ব্যবহার করার সময় Callum McMahon-এর LiteLLMটি একটি পাস-থ্রু ডিপেনডেন্সি হিসেবে ডাউনলোড হয়েছিল, এবং ইনস্টলেশনের পরেই তার মেশিনটি ক্র্যাশ হয়, যা হামলা প্রকাশ করে। Karpathy-এর মন্তব্য: "যদি হামলাকারীদের 'vibe code' এই হামলা না করত, তবে এটি কয়েকদিন বা কয়েকসপ্তাহও ধরে থাকত।"
প্রতিষ্ঠান TeamPCP 2026 সালের ফেব্রুয়ারির শেষের দিকে LiteLLM-এর CI/CD পাইপলাইনে GitHub Actions-এ Trivy ভালো স্ক্যানারের কনফিগারেশন ত্রুটির দ্বারা আক্রমণ করে PyPI প্রকাশ টোকেন চুরি করে এবং GitHub-এর বাইরে সরাসরি PyPI-তে ক্ষতিকারক সংস্করণ আপলোড করে। LiteLLM-এর রক্ষণাবেক্ষণকারী Berri AI-এর CEO Krrish Dholakia জানিয়েছেন যে সমস্ত প্রকাশ টোকেন মুছে ফেলা হয়েছে এবং JWT-ভিত্তিক বিশ্বস্ত প্রকাশ পদ্ধতিতে স্থানান্তরিত হওয়ার পরিকল্পনা করা হচ্ছে। PyPA PYSEC-2026-2 নামে একটি নিরাপত্তা ঘোষণা প্রকাশ করেছে, যা প্রভাবিত সংস্করণগুলি ইনস্টল করা সমস্ত ব্যবহারকারীদের সুপারিশ করেছে যে, তাদের পরিবেশের সমস্ত যাচাইকরণের তথ্য প্রকাশিত হয়েছে, এবং তাৎক্ষণিকভাবে সবগুলি পরিবর্তন করা উচিত।
অ্যান্ড্রেজ কারপাথি দ্বারা প্রকাশিত LiteLLM ম্যালওয়্যার আক্রমণ: API কি এবং ক্লাউড ক্রেডেনশিয়াল চুরি করে
Chainthinkশেয়ার
সারাংশ
অন-চেইন সংবাদে লাইটএলএলএম ম্যালওয়্যার আক্রমণের পৃষ্ঠভূমি, যেখানে ক্ষতিকর সংস্করণ v1.82.7 এবং v1.82.8 API কি এবং ক্লাউড যোগাযোগের তথ্য চুরি করে। আক্রমণকারীরা ডেটা একটি মিথ্যা ডোমেইনে বহির্বাহিত করতে RSA-এনক্রিপ্টেড চ্যানেল ব্যবহার করেছিল এবং কুবারনেটিস ক্লাস্টারে ব্যাকডোর স্থাপনের চেষ্টা করেছিল। এই ব্রিচটি GitHub Actions-এর একটি ভুল কনফিগারেশন থেকে উদ্ভূত হয়েছিল, যা TeamPCP দ্বারা দুর্বলতা হিসাবে ব্যবহার করা হয়েছিল, যারা PyPI রিলিজ টোকেন চুরি করেছিল। লাইটএলএলএম সমস্ত টোকেন বাতিল করেছে এবং JWT-ভিত্তিক প্রকাশনা গ্রহণ করবে। PyPA PYSEC-2026-2 নিরাপত্তা সতর্কবার্তা জারি করেছে, যা ব্যবহারকারীদের সমস্ত যোগাযোগের তথ্য বিপজ্জনক হওয়ার ধারণা করতে উৎসাহিত করছে। এই নিরাপত্তা সংকটের মধ্যেই মুদ্রাস্ফীতির তথ্যটি দ্বিতীয়গুণীয় বিষয়।
উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না।
ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।