Giám đốc an ninh thông tin của SlowMist, 23pds, đã tiết lộ vào ngày 25 tháng 3 rằng thư viện Python AI gateway LiteLLM, với hơn 97 triệu lượt tải hàng tháng trên PyPI, đã bị tấn công chuỗi cung ứng. Các phiên bản bị ảnh hưởng là 1.82.7 và 1.82.8, tồn tại trên nền tảng ít nhất hai giờ. Kẻ tấn công đã cấy mã độc nhiều lớp, có thể đánh cắp thông tin ví tiền mã hóa và các dữ liệu nhạy cảm khác.
Nguyên nhân cấu trúc khiến LiteLLM trở thành mục tiêu tấn công chuỗi cung ứng giá trị cao
LiteLLM đóng vai trò như một giao diện thống nhất trong hệ thống công nghệ AI, hỗ trợ gọi các mô hình của các nhà cung cấp dịch vụ chính như OpenAI, Anthropic, Google, v.v. Cấu trúc của nó nằm trực tiếp giữa ứng dụng và nhiều nhà cung cấp dịch vụ AI, cho phép truy cập vào lượng lớn API key, biến môi trường và dữ liệu cấu hình nhạy cảm.
Việc xâm nhập các thành phần trung gian như này, kẻ tấn công không cần phải tấn công trực tiếp các dịch vụ upstream, mà có thể chặn các chứng chỉ nhạy cảm xuyên suốt môi trường phát triển cục bộ, pipeline CI/CD và hạ tầng đám mây. Hiện các nhà điều tra đang đánh giá liệu cuộc tấn công này có liên quan đến các tổ chức đe dọa như TeamPCP và LAPSUS$ hay không, quá trình điều tra vẫn đang tiếp tục. Sự kiện ban đầu được báo cáo công khai bởi người dùng GitHub và sau đó được các nhà nghiên cứu bên ngoài của Futuresearch phân tích thêm.
Cơ chế hoạt động của ba lớp payload độc hại
Mã độc trong các phiên bản bị xâm phạm sử dụng kiến trúc ba lớp, thực thi qua mã Python mã hóa Base64 đã qua obfuscation:
Lớp 1 (Lớp rò rỉ dữ liệu): Thu thập dữ liệu nhạy cảm tại chỗ, mã hóa bằng thuật toán AES-256-CBC, sau đó mã hóa khóa phiên bằng RSA công khai nhúng sẵn, đóng gói thành tệp tpcp.tar.gz và gửi ra điểm cuối điều khiển của kẻ tấn công.
Lớp 2 (Lớp trinh sát và thu thập chứng chỉ): Liệt kê thông tin hệ thống, biến môi trường, và hệ thống hóa việc trích xuất các chứng chỉ SSH, chứng chỉ Git, chứng chỉ đám mây AWS/GCP/Azure, cấu hình Kubernetes, dữ liệu ví tiền mã hóa và cấu hình CI/CD. Trong một số trường hợp, mã độc còn chủ động sử dụng các chứng chỉ đã bị đánh cắp để thực hiện truy vấn API AWS hoặc thao tác trên Kubernetes.
Lớp 3 (Lớp duy trì và điều khiển từ xa): Ghi vào đĩa tệp sysmon.py và thiết lập thành dịch vụ hệ thống, mỗi 50 phút sẽ gửi yêu cầu kiểm tra đến điểm điều khiển của kẻ tấn công, cho phép chúng liên tục đẩy các chức năng độc hại mới vào hệ thống đã bị nhiễm.
Các tên miền dùng để liên lạc độc hại bao gồm models[.]litellm[.]cloud và checkmarx[.]zone.
Khuyến nghị giảm thiểu cho các tổ chức bị ảnh hưởng
Các tổ chức đã cài đặt hoặc chạy các phiên bản LiteLLM bị xâm phạm (1.82.7 hoặc 1.82.8) cần coi hệ thống của mình như đã bị xâm nhập. Do mã độc có khả năng duy trì tồn tại và có thể đã triển khai các payload bổ sung, việc chỉ đơn thuần gỡ bỏ gói là không đủ.
Khuyến nghị thực hiện ngay các hành động sau: đổi tất cả các chứng chỉ có thể bị lộ (bao gồm khóa truy cập AWS/GCP/Azure, SSH, API keys); kiểm tra nhật ký để phát hiện các kết nối ra ngoài đáng ngờ tới các miền models[.]litellm[.]cloud hoặc checkmarx[.]zone; xóa các tệp độc hại đã biết như tpcp.tar.gz, /tmp/pglog, /tmp/.pg_state và các dịch vụ liên quan đến sysmon.py; trong điều kiện có thể, khôi phục hệ thống từ trạng thái sạch đã biết.
Các câu hỏi thường gặp
Các phiên bản LiteLLM nào bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng này?
Các phiên bản bị ảnh hưởng là 1.82.7 và 1.82.8. Mã độc được nhúng trong tệp proxy_server.py (cả hai phiên bản đều bị ảnh hưởng) và litellm_init.pth (chỉ phiên bản 1.82.8). Người dùng cần xác nhận phiên bản đang dùng và nâng cấp lên phiên bản an toàn mới nhất.
Cuộc tấn công này có thể đánh cắp những loại thông tin nhạy cảm nào?
Mã độc thu thập các dữ liệu như khóa SSH, chứng chỉ đám mây AWS/GCP/Azure, cấu hình Kubernetes, token dịch vụ, chứng chỉ Git, API keys trong biến môi trường, lịch sử shell, dữ liệu ví tiền mã hóa và mật khẩu cơ sở dữ liệu. Tấn công ảnh hưởng đến môi trường phát triển cục bộ, pipeline CI/CD và hạ tầng đám mây.
Làm thế nào để xác định hệ thống đã bị xâm nhập?
Kiểm tra các chỉ số xâm nhập như sự tồn tại của các tệp tpcp.tar.gz, /tmp/pglog, /tmp/.pg_state, các dịch vụ duy trì liên quan đến sysmon.py; đồng thời xem xét các bản ghi kết nối mạng ra ngoài để phát hiện các liên lạc với các miền độc hại đã đề cập.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
