פרצת אבטחה חמורה ב-LiteLLM: גניבת סודות קריפטו באמצעות התקנה שגרתית של פייתון

#1 · 26/03/2026, 17:18

ציטוט מ מערכת האתר ב 26/03/2026, 17:18

בחודש מרץ האחרון, התגלה אירוע אבטחה חמור ב-LiteLLM, פלטפורמה המשמשת כממשק מאוחד לספקי מודלים לשוניים גדולים. האירוע, שהתרחש ב-24 במרץ, חשף משתמשים לגניבת סודות קריפטו באמצעות התקנה זדונית של פייתון. המתקפה נמשכה בין השעות 10:39 ל-16:00 לפי שעון UTC, כאשר תוקף הצליח לפרסם שתי גרסאות זדוניות של LiteLLM ב-PyPI: גרסאות 1.82.7 ו-1.82.8.

LiteLLM, כחלק מסביבות פיתוח עשירות באישורים, הפכה למטרת תוקפים אשר חיפשו לנצל את החולשות שלה כדי לגנוב סודות קריפטו. שתי הגרסאות הזדוניות הפיצו קוד פגום שהופעל בכל פעם שפייתון הופעל, מה שגרם למחשבים שנפגעו להריץ קוד זדוני באופן אוטומטי. גרסה 1.82.8, באופן ספציפי, שתלה קובץ .pth אשר הופעל ללא צורך בייבוא, דבר שהפך אותה למסוכנת במיוחד.

סטטיסטיקות PyPI מצביעות על כך ש-96,083,740 הורדות התרחשו במהלך החודש האחרון, מה שמציג את הפופולריות הרבה של LiteLLM ואת הפוטנציאל העצום לנזק. FutureSearch מעריכה כי במהלך 46 הדקות של המתקפה, היו 46,996 הורדות, מתוכן 32,464 הורדות של גרסה 1.82.8 בלבד. הנתונים הללו מצביעים על היקף הפגיעה הפוטנציאלית.

החברה SafeDep ביצעה הנדסה הפוכה למטען הזדוני וחשפה כי התוקפים התמקדו במטרות קריפטו. התוכנה הזדונית חיפשה קבצי תצורה של ארנקי ביטקוין, תיקיות keystore של את'ריום, וקבצי תצורה של Solana. הדגש המיוחד על Solana מצביע על מטרה ממוקדת במיוחד, שכן המטען חיפש זוגות מפתחות של מאמתים ומפתחות חשבונות הצבעה.

האירוע מדגיש את הסיכון הגובר עבור צוותי קריפטו, כאשר גניבת סודות יכולה להוביל לניקוז ארנקים, פריסת חוזים זדונית או פגיעה בחתימות. המקרה של LiteLLM מצביע על כך שכלים עשירים בסודות מספקים לתוקפים גישה מהירה לחומרים הקריטיים לארנקים.

PyPI פעלה במהירות והכניסה להסגר את הגרסאות הזדוניות, בעוד LiteLLM הסירה את הבניות הזדוניות והפעילה את Mandiant. האירוע מאיץ את האימוץ של פרקטיקות אבטחה מתקדמות, כמו פרסום מהימן של PyPI והפרדה הדוקה יותר של תפקידים בצוותי קריפטו.

האירוע מהווה קריאה לחשיבות האבטחה בסביבות פיתוח ומראה עד כמה חשוב להשקיע באבטחת מידע ולהיות מודעים לסיכונים הפוטנציאליים הנלווים להתקנות תוכנה שגרתיות. האם לדעתכם חברות נוספות צריכות לאמץ פרקטיקות אבטחה דומות כדי למנוע מתקפות דומות בעתיד?

בחודש מרץ האחרון, התגלה אירוע אבטחה חמור ב-LiteLLM, פלטפורמה המשמשת כממשק מאוחד לספקי מודלים לשוניים גדולים. האירוע, שהתרחש ב-24 במרץ, חשף משתמשים לגניבת סודות קריפטו באמצעות התקנה זדונית של פייתון. המתקפה נמשכה בין השעות 10:39 ל-16:00 לפי שעון UTC, כאשר תוקף הצליח לפרסם שתי גרסאות זדוניות של LiteLLM ב-PyPI: גרסאות 1.82.7 ו-1.82.8.

LiteLLM, כחלק מסביבות פיתוח עשירות באישורים, הפכה למטרת תוקפים אשר חיפשו לנצל את החולשות שלה כדי לגנוב סודות קריפטו. שתי הגרסאות הזדוניות הפיצו קוד פגום שהופעל בכל פעם שפייתון הופעל, מה שגרם למחשבים שנפגעו להריץ קוד זדוני באופן אוטומטי. גרסה 1.82.8, באופן ספציפי, שתלה קובץ .pth אשר הופעל ללא צורך בייבוא, דבר שהפך אותה למסוכנת במיוחד.

סטטיסטיקות PyPI מצביעות על כך ש-96,083,740 הורדות התרחשו במהלך החודש האחרון, מה שמציג את הפופולריות הרבה של LiteLLM ואת הפוטנציאל העצום לנזק. FutureSearch מעריכה כי במהלך 46 הדקות של המתקפה, היו 46,996 הורדות, מתוכן 32,464 הורדות של גרסה 1.82.8 בלבד. הנתונים הללו מצביעים על היקף הפגיעה הפוטנציאלית.

החברה SafeDep ביצעה הנדסה הפוכה למטען הזדוני וחשפה כי התוקפים התמקדו במטרות קריפטו. התוכנה הזדונית חיפשה קבצי תצורה של ארנקי ביטקוין, תיקיות keystore של את'ריום, וקבצי תצורה של Solana. הדגש המיוחד על Solana מצביע על מטרה ממוקדת במיוחד, שכן המטען חיפש זוגות מפתחות של מאמתים ומפתחות חשבונות הצבעה.

האירוע מדגיש את הסיכון הגובר עבור צוותי קריפטו, כאשר גניבת סודות יכולה להוביל לניקוז ארנקים, פריסת חוזים זדונית או פגיעה בחתימות. המקרה של LiteLLM מצביע על כך שכלים עשירים בסודות מספקים לתוקפים גישה מהירה לחומרים הקריטיים לארנקים.

PyPI פעלה במהירות והכניסה להסגר את הגרסאות הזדוניות, בעוד LiteLLM הסירה את הבניות הזדוניות והפעילה את Mandiant. האירוע מאיץ את האימוץ של פרקטיקות אבטחה מתקדמות, כמו פרסום מהימן של PyPI והפרדה הדוקה יותר של תפקידים בצוותי קריפטו.

האירוע מהווה קריאה לחשיבות האבטחה בסביבות פיתוח ומראה עד כמה חשוב להשקיע באבטחת מידע ולהיות מודעים לסיכונים הפוטנציאליים הנלווים להתקנות תוכנה שגרתיות. האם לדעתכם חברות נוספות צריכות לאמץ פרקטיקות אבטחה דומות כדי למנוע מתקפות דומות בעתיד?