Hackers introduzem código de roubo de carteiras de criptomoedas numa ferramenta de IA popular que é executada a cada momento

Uma versão envenenada do LiteLLM transformou uma instalação Python de rotina num roubador de segredos ciente de cripto que procurou carteiras, material de validador Solana e credenciais de cloud sempre que o Python era iniciado.

Em 24 de março, entre 10:39 UTC e 16:00 UTC, um atacante que tinha obtido acesso a uma conta de mantenedor publicou duas versões maliciosas do LiteLLM na PyPI: 1.82.7 e 1.82.8.

O LiteLLM comercializa-se como uma interface unificada para mais de 100 fornecedores de large language model, uma posição que o coloca, por design, em ambientes de desenvolvimento ricos em credenciais. As PyPI Stats registam 96,083,740 downloads no último mês, só por si.

As duas versões tinham níveis de risco diferentes. A versão 1.82.7 exigia um import direto de litellm.proxy para ativar a sua carga útil, enquanto a versão 1.82.8 colocou um ficheiro .pth (litellm_init.pth) na instalação do Python.

A própria documentação do Python confirma que linhas executáveis em ficheiros .pth correm em cada arranque do Python, pelo que 1.82.8 executou-se sem qualquer importação. Qualquer máquina que o tivesse instalado executou código comprometido assim que o Python foi iniciado novamente.

FutureSearch estima 46,996 downloads em 46 minutos, com 1.82.8 a representar 32,464 desses.

Além disso, contou 2,337 pacotes PyPI que dependiam do LiteLLM, com 88% a permitir o intervalo da versão comprometida à data do ataque.

A própria página de incidente do LiteLLM avisava que qualquer pessoa cuja árvore de dependências carregasse o LiteLLM através de uma restrição transitiva não fixada durante a janela deveria tratar o seu ambiente como potencialmente exposto.

A equipa DSPy confirmou que tinha uma restrição do LiteLLM de “superior ou igual a 1.64.0” e alertou que instalações novas durante a janela poderiam ter resolvido para as versões envenenadas.

Construído para caçar cripto

A engenharia reversa do payload por parte da SafeDep torna o alvo de cripto explícito.

O malware procurou ficheiros de configuração de carteiras Bitcoin e ficheiros wallet*.dat, diretórios de keystore Ethereum e ficheiros de configuração Solana em ~/.config/solana.

A SafeDep diz que o coletor deu tratamento especial ao Solana, mostrando pesquisas direcionadas para pares de chaves de validador, chaves de vote account e diretórios de deploy do Anchor.

A documentação de developers do Solana define o caminho predefinido da keypair da CLI em ~/.config/solana/id.json. A documentação de validador da Anza descreve três ficheiros de autoridade centrais para a operação do validador e afirma que o roubo do withdrawer autorizado dá ao atacante controlo total sobre as operações do validador e as recompensas.

A Anza também avisa que a chave de withdrawal nunca deve ficar no próprio computador do validador.

A SafeDep diz que o payload recolheu chaves SSH, variáveis de ambiente, credenciais de cloud e segredos do Kubernetes através de namespaces. Quando encontrou credenciais AWS válidas, consultou o AWS Secrets Manager e o SSM Parameter Store para informações adicionais.

Também criou pods privilegiados node-setup-* no kube-system e instalou persistência através de sysmon.py e de uma unidade systemd.

Para equipas de cripto, o risco agravado segue uma direção específica. Um infostealer que recolhe um ficheiro de carteira juntamente com a passphrase, o segredo de deploy, o token de CI ou a credencial de cluster a partir da mesma máquina pode transformar um incidente de credenciais num esvaziamento de carteira, numa implementação de contrato malicioso, ou num comprometimento do signer.

Related Reading

Curve Finance TVL cai abaixo de $1B após exploração de vulnerabilidade Vyper

O token CRV da Curve ficou altamente volátil após o ataque, levando a receios de contágio.

Jul 31, 2023 · Oluwapelumi Adejumo

O malware montou exatamente essa combinação de artefactos.

Este ataque faz parte de uma campanha mais ampla, já que a nota de incidente do LiteLLM liga o comprometimento ao incidente Trivy anterior, e a Datadog e a Snyk descrevem ambas o LiteLLM como um estágio posterior numa cadeia TeamPCP de vários dias que passou por vários ecossistemas de developers antes de chegar ao PyPI.

A lógica de direcionamento executa-se de forma consistente ao longo da campanha: uma ferramenta de infraestrutura rica em segredos fornece acesso mais rápido a material adjacente a carteiras.

Resultados potenciais para este episódio

O cenário otimista assenta na rapidez de deteção e na inexistência, até agora, de roubo cripto confirmado publicamente.

A PyPI colocou em quarentena ambas as versões por volta das 11:25 UTC a 24 de março. O LiteLLM removeu as versões maliciosas, rodou as credenciais do mantenedor e contactou a Mandiant. Neste momento, a PyPI mostra a 1.82.6 como a versão mais recente visível.

Se os defensores tiverem rodado segredos, auditado o litellm_init.pth e tratado as máquinas expostas como queimadas antes de os adversários conseguirem converter artefactos exfiltrados em exploração ativa, então o dano mantém-se contido na exposição de credenciais.

O incidente também acelera a adoção de práticas que já estão a ganhar terreno. O Trusted Publishing da PyPI substitui tokens de API manuais de longa duração por uma identidade suportada por OIDC de curta duração; aproximadamente 45,000 projetos tinham adotado isso até novembro de 2025.

CryptoSlate Daily Brief

Sinais diários, zero ruído.

Manchetes com impacto no mercado e contexto entregues todas as manhãs numa leitura única e compacta.

5-minute digest 100k+ leitores

Email address

Get the brief

Grátis. Sem spam. Cancele a qualquer momento.

Whoops, parece que houve um problema. Por favor, tente de novo.

Está subscrito. Bem-vindo a bordo.

O incidente do LiteLLM envolveu abuso de credenciais de release, tornando muito mais difícil descartar o caso de mudar.

Para equipas de cripto, o incidente cria urgência para uma separação mais rigorosa de funções: withdrawers de validador frias mantidas totalmente offline, signers de deploy isolados, credenciais de cloud de curta duração e grafos de dependências bloqueados.

Tanto o rápido pinning da equipa DSPy como a própria orientação pós-incidente da LiteLLM apontam para builds herméticos como padrão de remediação.

Um diagrama de linha do tempo mostra a janela de comprometimento do LiteLLM de 10:39 UTC a 16:00 UTC a 24 de março, anotando 46,996 downloads diretos em 46 minutos e um raio de explosão a jusante de 2,337 pacotes PyPI dependentes, 88% dos quais permitiram o intervalo de versões comprometidas.

O caso pessimista vira-se para o atraso. A SafeDep documentou um payload que exfiltrou segredos, se propagou dentro de clusters Kubernetes e instalou persistência antes da deteção.

Um operador que instalou uma dependência envenenada dentro de um build runner ou num ambiente ligado a um cluster em 24 de março pode não descobrir o âmbito total dessa exposição durante semanas. As chaves de API exfiltradas, credenciais de deploy e ficheiros de carteira não expiram com a deteção. Os adversários podem mantê-los e agir mais tarde.

A Sonatype coloca a disponibilidade maliciosa em “pelo menos duas horas”; a própria orientação do LiteLLM abrange instalações até 16:00 UTC; e o timestamp de quarentena do FutureSearch é 11:25 UTC.

As equipas não podem confiar apenas na filtragem por timestamp para determinar a sua exposição, já que esses números não fornecem um “tudo ok” claro.

O cenário mais perigoso nesta categoria centra-se em ambientes de operadores partilhados. Uma bolsa de cripto, um operador de validador, uma equipa de bridge ou um fornecedor de RPC que tenha instalado uma dependência transitiva envenenada dentro de um build runner teria exposto um controlo plane inteiro.

Dumps de segredos do Kubernetes através de namespaces e criação de pods privilegiados no namespace kube-system são ferramentas de acesso ao controlo plane concebidas para movimento lateral.

Se esse movimento lateral chegasse a um ambiente onde material de validador quente ou semi-quente estivesse presente em máquinas alcançáveis, as consequências poderiam variar desde roubo de credenciais individual até ao comprometimento da autoridade do validador.

Um fluxograma de cinco etapas traça o caminho do ataque desde uma instalação transitiva envenenada do LiteLLM através da execução automática na inicialização do Python, recolha de segredos e expansão do controlo plane no Kubernetes até resultados potenciais em cripto.

A quarentena da PyPI e a resposta a incidentes do LiteLLM encerraram a janela de distribuição ativa.

As equipas que instalaram ou atualizaram o LiteLLM em 24 de março, ou que executaram builds com dependências transitivas não fixadas resolvendo para 1.82.7 ou 1.82.8, devem tratar os seus ambientes como totalmente comprometidos.

Algumas ações incluem rodar todos os segredos acessíveis a partir das máquinas expostas, auditar o litellm_init.pth, revogar e emitir novamente credenciais de cloud, e verificar que nenhum material de autoridade do validador estava acessível a partir dessas máquinas.

O incidente do LiteLLM documenta um caminho de um atacante que sabia exatamente quais ficheiros off-chain procurar, tinha um mecanismo de entrega com dezenas de milhões de downloads mensais e construiu persistência antes de qualquer pessoa retirar as builds da distribuição.

A maquinaria off-chain que move e protege cripto estava diretamente no caminho de pesquisa do payload.

Mencionado neste artigo

Bitcoin Ethereum Solana

Publicado em

Destaque Hacks Crime Solana Web3

Autor Ver perfil →

Gino Matos

Repórter • CryptoSlate

Gino Matos é licenciado em direito e um jornalista experiente com seis anos de experiência na indústria cripto. A sua experiência centra-se principalmente no ecossistema blockchain brasileiro e em desenvolvimentos em finanças descentralizadas (DeFi).

@pelicamatos LinkedIn

Editor Ver perfil →

Liam ‘Akiba’ Wright

Editor-chefe • CryptoSlate

Também conhecido como “Akiba”, Liam Wright é o Editor-chefe na CryptoSlate e apresentador do SlateCast. Acredita que a tecnologia descentralizada tem potencial para gerar mudanças positivas generalizadas.

@akibablade LinkedIn

Context

Cobertura relacionada

Altere categorias para aprofundar ou obter mais contexto.

Solana Latest News      Hacks Top Category      Press Releases Newswire  

Regulamentação

A SEC reduz drasticamente a pressão de KYC sobre Bitcoin, XRP e Solana com regras cripto revistas

A SEC redefine o panorama cripto com nova taxonomia, estabelecendo limites e concedendo espaço para a inovação em privacidade.

2 semanas atrás

Tokenização

Wall Street está a construir na Solana apesar da reputação de memecoin

A estrutura de mint e redeem 24/5 da Ondo mantém os valores mobiliários com corretoras, enquanto a Solana lida com a camada de transferência.

2 semanas atrás

A Tether ainda mantém mais dinheiro, mas o USDC da Circle agora move mais do dinheiro do cripto

Stablecoins · 3 semanas atrás

O XRP Ledger acaba de ultrapassar a Solana em valor de tokenização de RWA e a contagem de detentores revela porquê

Tokenização · 2 meses atrás

Falha terrível na Solana acaba de expor como a rede “always-on” poderia ter sido facilmente travada por hackers

Análise · 2 meses atrás

O ataque público da Solana ao Starknet expõe como milhares de milhões em volume “mercenary” estão a bombar artificialmente as valorizações de rede neste momento

DeFi · 3 meses atrás

Hacks

Circle sob fogo depois de fluxos de USDC roubado de $230M ficarem desbloqueados dias após congelar contas legítimas

O exploit Drift expõe uma contradição crescente em como os emissores de stablecoin fazem cumprir o controlo durante crises.

2 horas atrás

Análise

Porque os hacks cripto não terminam e continuam mesmo quando o dinheiro já se foi

Um exploit cripto pode esvaziar uma carteira em minutos, mas o dano total muitas vezes desenrola-se ao longo de meses. Os tokens continuam a cair, as tesourarias encolhem, congelamentos de contratação entram em vigor e os projetos que sobrevivem ao roubo ainda podem perder o seu futuro no rescaldo.

2 semanas atrás

A visão de stablecoins de $2 biliões da Treasury encontra uma verificação da realidade com o USD1 a descolar

Stablecoins · 1 mês atrás

A segurança do reservatório de Bitcoin de $28B do governo dos EUA ameaçada após roubo ao fim-de-semana revelar falha

Hacks · 2 meses atrás

“Robin Hood” bots digitais roubam de hackers mas nem sempre devolvem aos pobres

Hacks · 2 meses atrás

Centenas de carteiras MetaMask drenadas: O que verificar antes de ‘atualizar’

Carteiras · 3 meses atrás

A ADI Chain anuncia ADI Predictstreet como parceiro do mercado de previsões para a FIFA World Cup 2026

Apoiada pela ADI Chain, a ADI Predictstreet fará a sua estreia no maior palco do futebol como parceiro oficial do mercado de previsões da FIFA World Cup 2026.

6 horas atrás

Bolsa BTCC nomeada parceira regional oficial da equipa nacional argentina

A BTCC fez parceria com a Associação de Futebol da Argentina através da FIFA World Cup 2026, ligando a presença cripto de longa data da bolsa com uma das seleções nacionais mais condecoradas do futebol.

1 dia atrás

A Encrypt vai chegar à Solana para potenciar mercados de capitais com capital encriptado

PR · 3 dias atrás

Ika vai chegar à Solana para potenciar mercados de capitais sem bridge

PR · 3 dias atrás

O lançamento do Mainnet do TxFlow L1 marca uma nova fase para as finanças on-chain multi-aplicação

PR · 3 dias atrás

A BYDFi celebra o 6.º aniversário com uma celebração de um mês, construída para fiabilidade

PR · 3 dias atrás

Aviso Legal

As opiniões dos nossos autores são apenas as deles próprias e não refletem a opinião da CryptoSlate. Nenhuma das informações que lê na CryptoSlate deve ser considerada conselho de investimento, nem a CryptoSlate endossa qualquer projeto que possa ser mencionado ou ligado neste artigo. Comprar e negociar criptomoedas deve ser considerado uma atividade de alto risco. Faça por favor a sua própria diligência antes de tomar qualquer ação relacionada com o conteúdo deste artigo. Por fim, a CryptoSlate não assume qualquer responsabilidade caso perca dinheiro ao negociar criptomoedas. Para mais informações, veja os nossos avisos legais da empresa.