ハッカーが、実行されるたびに動作する人気AIツールに仮想通貨ウォレットを盗むコードを忍び込ませる
概要
攻撃者は、人気のあるPythonライブラリであるLiteLLMのメンテナーアカウントに侵入し、3月24日にPyPIに悪意のあるバージョン1.82.7と1.82.8を公開しました。100以上のLLMプロバイダーの統一インターフェースとして使用されるLiteLLMは、認証情報が豊富な開発環境内に存在することがよくあります。バージョン1.82.8は、Pythonが起動するたびに悪意のあるコードを実行する.pthファイルを仕込んだため、特に危険であり、1時間足らずで数万回ダウンロードされました。
ペイロードは、特にビットコインウォレットファイル、イーサリアムキーストア、およびバリデーターキーペアや認証ファイルを含むSolana設定ファイルを標的として、機密情報を盗むように設計されていました。さらに、マルウェアはSSHキー、環境変数、クラウド認証情報(有効なキーが見つかるとAWS Secrets Managerをクエリ)、およびKubernetesシークレットを収集し、永続化のために特権Podを作成しました。
このインシデントは、開発者エコシステムを標的としたより広範なキャンペーンに関連しています。PyPIは悪意のあるバージョンを迅速に隔離しましたが、影響を受けた期間(3月24日10:39 UTCから16:00 UTC)に侵害されたビルドをインストールしたチームは、環境全体が完全に侵害されたと見なすべきです。推奨される修復策には、すべてのシークレットのローテーション、永続化ファイルの監査、および暗号資産運用に対するより厳格なセキュリティプラクティス(ビルドの隔離や役割の分離など)の導入が含まれます。
(出典:CryptoSlate)