LiteLLM хакерська атака: 500 тисяч облікових даних витекло, криптовалюта може бути вкрадена, як перевірити, чи ви постраждали?

Автор: HIBIKI, Крипто Місто

LiteLLM зазнав атаки на ланцюг постачання, сотні ГБ даних, 500 тисяч облікових записів витікли
Щоденний обсяг завантажень AI відкритого програмного забезпечення LiteLLM, що досягає 3,4 мільйонів, є важливим мостом для багатьох розробників, які підключають кілька великих мовних моделей (LLM), нещодавно став мішенню для хакерів. Касперський оцінює, що ця атака призвела до ризику для понад 20 тисяч репозиторіїв коду, хакери стверджують, що вкрали сотні ГБ конфіденційних даних та понад 500 тисяч облікових даних аккаунтів, що завдало серйозного удару по глобальній розробці програмного забезпечення та хмарним середовищам.
Після дослідження експертів з кібербезпеки виявилося, що джерелом атаки на LiteLLM стали відкриті інструменти безпеки Trivy, які багато компаній використовують для сканування вразливостей системи.
Це типова атака на ланцюг постачання (Supply Chain Attack), хакери почали з верхніх довірених інструментів, на які покладається ціль, та таємно вклали зловмисний код, немов отруївши джерело води на водопровідній станції, змусивши всіх споживачів непомітно постраждати.

Джерело зображення: Trivy ｜ Джерело атаки на LiteLLM, виявилося, що це багато компаній використовують для сканування вразливостей системи відкриті інструменти безпеки Trivy.

Весь процес атаки на LiteLLM: від інструментів безпеки до ланцюгового вибуху AI
Згідно з аналізом компаній з кібербезпеки Snyk і Касперського, атака на LiteLLM була закладена ще в кінці лютого 2026 року.
Хакери використали вразливість CI/CD GitHub (автоматизований процес тестування та випуску програмного забезпечення), щоб вкрасти облікові дані (Token) технічного адміністратора Trivy. Оскільки облікові дані не були повністю відкликані, хакери 19 березня успішно модифікували мітку випуску Trivy, дозволивши автоматизованому процесу завантажити скануючий інструмент, що містить зловмисний код.
Потім, використовуючи ту ж тактику, хакери 24 березня контролювали права на випуск LiteLLM і завантажили версії 1.82.7 та 1.82.8, що містять зловмисний код.
Цього часу розробник Callum McMahon, тестуючи розширення редактора Cursor, автоматично завантажив останню версію LiteLLM, що призвело до миттєвого виснаження ресурсів його комп’ютера.
Він через AI помічника Debug виявив, що в зловмисному коді є дефект, який випадково активував форк-бомбу (Fork Bomb), що є зловмисною поведінкою, яка постійно самовідтворюється і виснажує пам’ять комп’ютера та обчислювальні ресурси, що й призвело до передчасного викриття цієї прихованої атаки.
Згідно з аналізом Snyk, зловмисний код цієї атаки поділяється на три етапи:

• Збір даних: програма повністю обшукує чутливу інформацію на ураженому комп’ютері, включаючи SSH-ключі для віддаленого підключення, облікові дані для хмарних сервісів (AWS, GCP), а також насіння для криптовалютних гаманців, таких як біткойн, ефір тощо.
• Шифрування та витік: зібрані дані шифруються, упаковуються та таємно передаються на фальшивий домен, попередньо зареєстрований хакерами.
• Тривале перебування та горизонтальне переміщення: зловмисна програма встановлює бекдор в системі, а якщо виявляє Kubernetes, відкриту платформу для автоматизованого розгортання та управління контейнеризованими додатками, також намагається поширити зловмисну програму на всі вузли кластера.

Часова шкала атаки на ланцюг постачання LiteLLM та Trivy

Ваш гаманець і облікові дані в безпеці? Посібник з перевірки та заходів з відновлення
Якщо ви встановлювали або оновлювали пакет LiteLLM після 24 березня 2026 року, або ваша автоматизована розробницька середа використовує інструмент сканування Trivy, ваша система, ймовірно, вже постраждала.
Згідно з рекомендаціями Callum McMahon і Snyk, першим завданням захисту та відновлення є підтвердження обсягу ураження і повне блокування бекдору хакерів.

Касперський рекомендує для підвищення безпеки GitHub Actions використовувати такі відкриті інструменти:

• zizmor: це інструмент для статичного аналізу та виявлення помилок у налаштуваннях GitHub Actions.
• gato та Gato-X: ці два варіанти інструментів призначені для допомоги у виявленні структурних вразливостей у автоматизованих процесах (потоках).
• allstar: додаток GitHub, розроблений відкритим фондом безпеки (OpenSSF), спеціально призначений для налаштування та примусового виконання політики безпеки в організаціях і репозиторіях GitHub.

За атакою LiteLLM хакери вже давно стежать за бумом вирощування омарів
Згідно з аналізом Snyk і інженера Huli, який стежить за сферою кібербезпеки, за цим випадком стоїть хакерська група під назвою TeamPCP, яка активна з грудня 2025 року і часто створює канали в таких месенджерах, як Telegram, для своєї діяльності.
Huli зазначив, що хакери під час атаки використовували автоматизований компонент атаки під назвою hackerbot-claw. Ця назва巧妙но слідує за останнім трендом у сфері AI, що стосується агентів OpenClaw для вирощування омарів.
Ці хакери точно націлилися на інструменти інфраструктури з високими правами, які широко використовуються, включаючи Trivy та LiteLLM, і вміють використовувати останні тренди у сфері AI для розширення масштабу атаки, демонструючи організований і цілеспрямований підхід до злочинної діяльності.

Джерело зображення: Huli випадково спілкується ｜ Інженер Huli, який стежить за сферою кібербезпеки, пояснює подію атаки на ланцюг постачання Trivy і LiteLLM (часткові скріншоти)

З поширенням AI інструментів управління правами в процесі розробки та безпека ланцюга постачання стали ризиками, які всі компанії не можуть ігнорувати.
Наприклад, нещодавні випадки, коли облікові записи відомих розробників NPM були зламані, призвели до того, що JavaScript пакети були заражені зловмисним кодом, що могло поставити під загрозу більшість DApp та гаманців; або коли Anthropic розкрила, що китайські хакери здійснили першу в історії велику автоматизовану шпигунську операцію в мережі через Claude Code, все це повинно бути взято до уваги.