Thư viện phần mềm nguồn mở LiteLLM, được tải xuống hơn 95 triệu lần mỗi tháng, đã bị hack trong một vụ ngộ độc chuỗi cung ứng gần đây. Hacker giả mạo phiên bản 1.82.7 và 1.82.8 để thêm mã độc. Các mã độc này sẽ tìm kiếm toàn bộ dữ liệu nhạy cảm trong môi trường và truyền ngược lại máy chủ của hacker. Mã độc do tin tặc viết còn có khả năng lây lan theo chiều ngang, tức là quét môi trường mục tiêu và đánh cắp thông tin xác thực, sau đó sử dụng thông tin xác thực để tiếp tục xâm phạm các cơ sở khác. Ví dụ: một số lượng lớn cụm k8 đã bị xâm phạm và dữ liệu bị rò rỉ là không thể đo lường được.
Bản thân LiteLLM là một công cụ dịch phổ quát cho hệ sinh thái AI và có thể kết nối với API của hàng trăm mô hình ngôn ngữ lớn. Do đó, một số lượng lớn các công cụ hạ nguồn sử dụng LiteLLM làm công cụ phụ thuộc cốt lõi, điều này cũng dẫn đến việc người dùng các công cụ hạ nguồn cũng bị tấn công.
Điều đáng chú ý là tin tặc có khả năng viết mã độc thông qua AI. Có một LỖI thực thi vòng lặp trong mã độc. Nếu BUG này không khiến tài nguyên máy chủ cạn kiệt thì có thể không ai phát hiện ra LiteLLM bị nhiễm độc.
Dòng thời gian của cuộc tấn công chuỗi cung ứng này:
Ngày 19 tháng 3 năm 2026: Trình quét lỗ hổng mã nguồn mở Trivy bị hacker tấn công và tung ra phiên bản nhiễm độc
23/03/2026: Hacker xâm nhập Checkmarx KICS
24/03/2026: Hacker khai thác Trivy bị nhiễm độc để đánh cắp từ đường dẫn LiteLLM CI/CD PyPI token, sau đó phát hành phiên bản nhiễm độc
Ba lần tải trọng độc hại:
Thu thập thông tin: Sau khi tải trọng độc hại được thực thi, nó sẽ đi qua các khóa SSH, tệp .env, thông tin xác thực đám mây, cấu hình k8s, Thông tin xác thực Git và nhiều thông tin xác thực nhạy cảm khác.
Thư gửi đi được mã hóa: Sử dụng khóa chung RSA-4096 được mã hóa cứng + AES-256-CBC để mã hóa dữ liệu và tải dữ liệu lên models.litellm.cloud do hacker kiểm soát.
Chuyển động bên: Nếu phát hiện thấy mã thông báo tài khoản dịch vụ k8s, tải trọng độc hại cũng sẽ sử dụng mã thông báo để cài đặt một cửa sau nhằm lan truyền và tồn tại lâu dài.
Tác hại tiềm tàng của cuộc tấn công này là cực kỳ cao:
Cá nhân và doanh nghiệp vừa và nhỏ: tin tặc có thể trực tiếp chiếm đoạt tài khoản sau khi lấy được khóa SSH và thông tin đăng nhập trên đám mây, thậm chí cấy ransomware để mã hóa dữ liệu để tống tiền.
Nhóm AI cấp doanh nghiệp: LiteLLM đóng vai trò là lớp proxy và chứa một số lượng lớn KEY API. Những kẻ tấn công có thể giả mạo các yêu cầu để đánh cắp dữ liệu hoặc thậm chí đầu độc các mô hình hạ nguồn.
cụm kubernetes: Pod đặc quyền và giá treo máy chủ hình thành sự tiếp quản hoàn toàn, cho phép tin tặc đánh cắp tất cả dữ liệu và biến cụm thành mạng botnet.
Phản ứng dây chuyền: Thông tin đăng nhập bị đánh cắp cũng có thể được sử dụng trong cuộc tấn công tiếp theo, tạo thành một vòng luẩn quẩn mà cuối cùng sẽ dẫn đến nhiều dự án bị tấn công hơn và nhiều dữ liệu bị đánh cắp hơn.
Điều đáng chú ý là nguồn gốc của cuộc tấn công chuỗi cung ứng này, máy quét lỗ hổng nguồn mở Trivy, đã bị hack lần thứ hai. Công cụ này đã bị tin tặc xâm nhập vào cuối tháng 2 năm 2026. Công việc dọn dẹp vào thời điểm đó có thể chưa hoàn thiện dẫn đến tin tặc vẫn còn quyền hoạt động, nhưng điều này đòi hỏi phải tiếp tục điều tra.
Phiên bản độc hại của LiteLLM mất khoảng 3 giờ để trực tuyến. Dựa trên số lượt tải xuống trung bình hàng ngày của LiteLLM là 3,4 triệu lần, vẫn có 420.000 phiên bản bị nhiễm virus được cài đặt và những rủi ro bảo mật tiềm ẩn là không thể đo lường được.
TeamPCP Hacking Team:
Đánh giá từ thông tin đã biết hiện tại, nhóm hacker đã phát động cuộc tấn công được gọi là TeamPCP. Một nhóm lo ngại về an ninh mạng đã liên hệ với TeamPCP. Nhóm hack này tiết lộ đã thu được hơn 300GB nhưng do lượng dữ liệu thu được tương đối lớn nên dữ liệu vẫn đang được xử lý và làm sạch.