Hackers introducen código para robar billeteras de criptomonedas en una popular herramienta de IA que se ejecuta cada vez
Se publicaron versiones maliciosas de la librería LiteLLM, robando billeteras de criptomonedas, claves de validador de Solana y credenciales de la nube al ejecutarse.Resumen
Los atacantes obtuvieron acceso a una cuenta de mantenedor de la popular librería de Python LiteLLM y publicaron las versiones maliciosas 1.82.7 y 1.82.8 en PyPI el 24 de marzo. LiteLLM, utilizado como interfaz unificada para más de 100 proveedores de modelos de lenguaje grandes, se encuentra a menudo en entornos de desarrolladores ricos en credenciales. La versión 1.82.8 fue particularmente peligrosa ya que plantó un archivo .pth que ejecutaba código malicioso cada vez que se iniciaba Python, resultando en decenas de miles de descargas en menos de una hora.
La carga útil estaba diseñada para robar información sensible, apuntando específicamente a archivos de billetera de Bitcoin, almacenes de claves de Ethereum y archivos de configuración de Solana, incluidas claves de par de validador y archivos de autoridad. Además, el malware cosechó claves SSH, variables de entorno, credenciales en la nube (consultando AWS Secrets Manager al encontrar credenciales válidas) y secretos de Kubernetes, incluso creando Pods privilegiados para persistencia.
El incidente está vinculado a una campaña más amplia dirigida a ecosistemas de desarrolladores. Aunque PyPI puso en cuarentena las versiones maliciosas rápidamente, los equipos que instalaron las compilaciones comprometidas durante la ventana (10:39 UTC a 16:00 UTC del 24 de marzo) deben tratar sus entornos como totalmente comprometidos. La remediación recomendada incluye rotar todos los secretos, auditar el archivo de persistencia e implementar prácticas de seguridad más estrictas, como compilaciones herméticas y una mejor separación de roles para las operaciones criptográficas.
(Fuente:CryptoSlate)