Metni:

Kripto cüzdanlarından bilgi çalmayı hedefleyen kötü niyetli bir LiteLLM sürümü, her Python başladığında cüzdanları, Solana doğrulayıcı materyallerini ve bulut kimlik bilgilerini arayan bir sır hırsızına dönüştü. 24 Mart tarihinde, 10:39 – 16:00 UTC arasında, bir saldırgan, bakım sağlayıcı hesabına erişim kazanmış ve PyPI’ye iki kötü amaçlı LiteLLM sürümü olan 1.82.7 ve 1.82.8’i yayınlamıştı. LiteLLM, kendisini 100’den fazla büyük dil model sağlayıcıya yönelik entegre arayüz olarak pazarlamaktadır ve bu konumlandırma tasarım gereği geliştirici ortamlarında kimlik bilgileri açısından zengin olma eğilimindedir. Son bir ayda PyPI İstatistikleri, sadece bir ayda 96.083.740 indirme kaydetti.

İki sürüm de farklı risk seviyeleri taşıyordu. 1.82.7 sürümü, payload’ını etkinleştirmek için litellm.proxy’yi doğrudan içe aktarmayı gerektirirken, 1.82.8 sürümü Python kurulumuna bir .pth dosyası (litellm_init.pth) eklemiştir. Python’ın kendi belgeleri, .pth dosyalarındaki yürütülebilir satırların her Python başlatıldığında çalıştığını doğrular, bu nedenle 1.82.8 hiçbir içe aktarma olmaksızın çalıştı. Bu yüklü olan herhangi bir makine, Python bir sonraki başlatıldığında kompomitre edilmiş kodu çalıştırmış olur.

Gelecek Araştırması, 46.996 indirme yapıldığını tahmin ediyor ve bunların 32.464’ünü 1.82.8’in oluşturduğunu belirtiyor. Ayrıca, saldırı anındaki kompomitre versiyon aralığına izin veren %88’i oluşturan 2.337 PyPI paketini saydı. LiteLLM’in kendi olay sayfası, pencere sırasında LiteLLM’yi bağımlılık ağacına çeken herkesin ortamını potansiyel olarak tehlikeli olarak ele alması gerektiğini belirtti. DSPy ekibi, hızlı yığınlanmış bir LiteLLM kısıtlamasına ve pencerenin bir parçası olarak zehirli yapıların çözümlenmiş olabileceğini, LiteLLM kısıtlamalarını çözen taze kurulumların zehirli yapılarla sonuçlanabileceğini doğruladı.

SafeDep’in payload’ın ters mühendisliği, kripto hedeflemeyi açıkça ortaya koymaktadır. Malware, Bitcoin cüzdanı yapılandırma dosyalarını ve wallet*.dat dosyalarını, Ethereum keystore dizinlerini ve ~/.config/solana altındaki Solana yapılandırma dosyalarını aradı. SafeDep, koleksiyonun Solana’ya özel işlem uyguladığını belirtirken, hedeflenen aramaların doğrulayıcı anahtar çiftleri, oy hesabı anahtarları ve Anchor dağıtım dizinlerine yönelik olduğunu gösterdiğini belirtti. Solana’nın geliştirici belgeleri, varsayılan CLI anahtar çifti yolunu ~/.config/solana/id.json olarak ayarlar ve Anza’nın doğrulayıcı belgeleri, doğrulayıcının işleyişinin temelinde bulunan üç yetki dosyasından bahseder ve yetkili çekerin çalınmasıyla, bir saldırganın doğrulayıcı işlemleri ve ödülleri üzerinde tam kontrol sağladığını belirtir.

Ancak SafeDep’in tespit ettiği gibi, payloada arka kapıdan giren kullanıcılar için önemli riskler oluşturmaktadır. SSH anahtarları, çevre değişkenleri, bulut kimlik bilgileri ve Kubernetes sırları toplarken, geçerli AWS kimlik bilgileri bulursa, ek bilgi için AWS Secrets Manager ve SSM Parameter Depolarına sorgu yaptı. Ayrıca kube-system içinde ayrıcalıklı node-setup-*podlar oluşturdu ve sysmon.py ve bir systemd birimi aracılığıyla kalıcılık sağladı.

Gelecekte güvenlik uzmanları, benzer saldırıların önlenmesi ve müşterilerin güvenliğinin sağlanması için daha sıkı güvenlik önlemleri alınacağını belirtti. PyPI’nın Güvenilir Yayıncılık uygulaması, uzun süreli manuel API belirteçlerini kısa süreli OIDC destekli kimlik kimlikleriyle değiştirmekte ve Kasım 2025 itibarıyla yaklaşık 45.000 proje bunu benimsemiş durumda.

LiteLLM’in olayı, yayımlama kimlik bilgilerinin kötüye kullanımını içerdiği için bu tür durumların göz ardı edilmesini önlemek için daha katı güvenlik önlemleri alınmasını sağlamıştır. Kripto ekipleri için, güvenlik olayı soğuk doğrulayıcıları tamamen çevrimdışı tutarak, izole dağıtım imzalayıcıları, kısa ömürlü bulut kimlik bilgileri ve kilitli bağımlılık grafikleri gibi daha sıkı rol ayrımı uygulanmasını gerektirmektedir. DSPy ekibinin hızlı sabitlemesi ve LiteLLM’in kendi olay sonrası rehberliği, tedavi standartı olarak ermiş paketlerin kullanılmasını işaret ediyor.

Fakat yine de, saldırıdan hemen sonra tespit edilme hızı ve şimdiye kadar kamuya açıklanan herhangi bir kripto hırsızlığının olmaması boğa durumunu oluşturmaktadır. PyPI, her iki sürümü de yaklaşık 11:25 UTC civarında karantinaya aldı. LiteLLM, kötü amaçlı yapıları kaldırdı, bakımcı kimlik bilgilerini değiştirdi ve Mandiant ile iş birliği yapmıştır. Şu anda PyPI’nın en son görünür sürümü 1.82.6’yı göstermektedir.

Eğer savunucular, saldırganların çalınan materyalleri aktif bir şekilde kötüye kullanmalarını önlemeden önce, sırları döndürmüş, litellm_init.pth için denetlemeler yapmış ve tehlikeye atılmış makineleri işe yaramaz hale getirmeden önce ortaya çıkmışlarsa, o zaman zarar sadece kimlik bilgisinin ifşasını sınırlı kalır. Olay, zaten kabul gören uygulamaların benimsenmesini hızlandırmaktadır. PyPI’nın Güvenilir Yayıncılığı, uzun ömürlü manuel API belirteçlerini kısa ömürlü OIDC destekli kimlik bilgileriyle değiştirirken, Kasım 2025’e kadar yaklaşık 45.000 proje bunu benimsemiştir.

Kısacası, LiteLLM olayı bir saldırganın hangi off-chain dosyalara bakacağını tam olarak bilen, aylık milyonlarca indirme sayısına sahip bir dağıtım mekanizması olan ve hiç kimsenin bu dağıtımları dağıtımdan çekmeden önce kalıcılık oluşturan bir süreç belgelemektedir. Kripto para birimini hareket ettiren ve koruyan off-chain mekanizmalar, paylonun arama yolunun doğrudan hedefi olmuştur.

⚠️ Bu içerik yatırım tavsiyesi değildir.