Theo 1M AI News , thành viên sáng lập OpenAI, Andrej Karpathy, đã đăng bài cho biết cuộc tấn công chuỗi cung ứng đối với công cụ phát triển đại lý AI LiteLLM là “điều đáng sợ nhất trong phần mềm hiện đại”. Hai phiên bản bị nhiễm độc v1.82.7 và v1.82.8 của LiteLLM, với lượng tải xuống hàng tháng đạt 97 triệu lần, đã bị gỡ khỏi PyPI.
Chỉ cần một câu lệnh pip install litellm là đủ để đánh cắp khóa SSH, thông tin xác thực đám mây AWS/GCP/Azure, cấu hình Kubernetes, thông tin xác thực git, biến môi trường (bao gồm tất cả khóa API), lịch sử shell, ví tiền điện tử, khóa riêng SSL, khóa CI/CD và mật khẩu cơ sở dữ liệu. Mã độc đóng gói dữ liệu bằng mã hóa RSA 4096 bit và gửi đi đến tên miền giả mạo models.litellm.cloud, đồng thời cố gắng tạo container đặc quyền trong không gian tên kube-system của cụm Kubernetes để cài đặt cửa sau bền vững.
Nguy hiểm hơn là tính lây nhiễm: bất kỳ dự án nào phụ thuộc vào LiteLLM đều sẽ bị ảnh hưởng theo, ví dụ như `pip install dspy` (phụ thuộc vào litellm>=1.64.0) cũng sẽ kích hoạt mã độc. Phiên bản bị nhiễm độc chỉ tồn tại khoảng 1 giờ trên PyPI trước khi bị phát hiện, lý do khá讽刺: mã độc của chính kẻ tấn công có lỗi khiến nó bị tràn bộ nhớ và sập. Developer Callum McMahon đã gặp sự cố khi sử dụng một plugin MCP trong công cụ lập trình AI Cursor, LiteLLM được kéo vào như một phụ thuộc gián tiếp, và sau khi cài đặt, máy tính của anh ấy lập tức sập, từ đó phơi bày cuộc tấn công. Karpathy bình luận: “Nếu kẻ tấn công không có vibe code, cuộc tấn công này có thể chưa bị phát hiện trong vài ngày甚至 vài tuần.”
Nhóm tấn công TeamPCP đã xâm nhập vào cuối tháng 2 bằng cách khai thác lỗ hổng trong cấu hình công cụ quét lỗ hổng Trivy trong pipeline CI/CD của LiteLLM trên GitHub Actions, đánh cắp mã thông báo phát hành PyPI, sau đó tải lên các phiên bản độc hại trực tiếp lên PyPI mà không thông qua GitHub. Krrish Dholakia, CEO của Berri AI – đơn vị duy trì LiteLLM – cho biết đã xóa tất cả các mã thông báo phát hành và kế hoạch chuyển sang cơ chế phát hành đáng tin cậy dựa trên JWT. PyPA đã phát hành thông báo bảo mật PYSEC-2026-2, khuyến nghị tất cả người dùng đã cài đặt các phiên bản bị ảnh hưởng giả định rằng tất cả thông tin xác thực trong môi trường của họ đã bị rò rỉ và cần lập tức thay đổi.
Cuộc tấn công phần mềm độc hại LiteLLM bị Andrej Karpathy phơi bày: Ăn cắp khóa API và thông tin xác thực đám mây
ChainthinkChia sẻ
Tóm tắt
Các điểm yếu bảo mật của phần mềm độc hại LiteLLM xuất hiện trong tin tức trên chuỗi, với các phiên bản độc hại v1.82.7 và v1.82.8 đánh cắp khóa API và thông tin xác thực đám mây. Kẻ tấn công sử dụng các kênh được mã hóa bằng RSA để đánh cắp dữ liệu đến một miền giả mạo và cố gắng cài đặt backdoor vào các cụm Kubernetes. Sự xâm phạm bắt nguồn từ cấu hình sai GitHub Actions bị TeamPCP khai thác để đánh cắp mã thông báo phát hành PyPI. LiteLLM đã thu hồi tất cả các mã thông báo và sẽ áp dụng việc xuất bản dựa trên JWT. PyPA đã ban hành cảnh báo PYSEC-2026-2, kêu gọi người dùng giả định tất cả thông tin xác thực đều đã bị xâm phạm. Dữ liệu lạm phát vẫn là mối quan tâm thứ cấp trong cuộc khủng hoảng bảo mật này.
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này.
Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụng và Tiết lộ rủi ro của chúng tôi.