Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, MasterCard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
tag
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
13周年庆
Récompenses

LiteLLM incident de piratage : 500 000 certificats divulgués, les portefeuilles cryptographiques risquent d'être volés, comment vérifier si vous êtes touché ?

区块客
Incidents de sécurité
ETH1,89%

Auteur : HIBIKI, Ville Cryptographique

LiteLLM a subi une attaque de la chaîne d’approvisionnement, des centaines de Go de données et 500 000 identifiants ont été divulgués
Avec un volume de téléchargements atteignant jusqu’à 3,4 millions par jour, le package open source d’IA LiteLLM est un pont essentiel pour de nombreux développeurs reliant plusieurs modèles de langages de grande taille (LLM), mais il est récemment devenu la cible des hackers. Kaspersky estime que cette attaque a exposé plus de 20 000 dépôts de code à des risques, et les hackers affirment avoir volé des centaines de Go de données sensibles et plus de 500 000 identifiants de comptes, ce qui a eu un impact grave sur le développement de logiciels mondiaux et les environnements cloud.
Après une enquête menée par des experts en cybersécurité, il a été découvert que l’origine de l’incident des hackers de LiteLLM était un outil de cybersécurité open source utilisé par de nombreuses entreprises pour scanner les vulnérabilités du système, Trivy.
C’est une attaque typique de la chaîne d’approvisionnement en nid d’abeille (Supply Chain Attack), où les hackers exploitent des outils de confiance en amont dont la cible dépend pour insérer discrètement du code malveillant, comme empoisonner la source d’une usine de traitement d’eau, piégeant ainsi tous les consommateurs à leur insu.

Source de l’image : Trivy | L’origine de l’incident des hackers de LiteLLM est un outil de cybersécurité open source utilisé par de nombreuses entreprises pour scanner les vulnérabilités du système, Trivy.

Processus complet de l’attaque de LiteLLM : de l’outil de cybersécurité à la chaîne d’IA
Selon des analyses de la société de cybersécurité Snyk et de Kaspersky, les prémices de l’attaque de LiteLLM ont été posées dès la fin février 2026.
Les hackers ont exploité une vulnérabilité dans le CI/CD de GitHub (un processus d’automatisation des tests et des déploiements de logiciels) pour voler les identifiants d’accès (Token) des mainteneurs de Trivy. Comme les identifiants n’ont pas été complètement révoqués, les hackers ont réussi à falsifier le tag de publication de Trivy le 19 mars, permettant à l’automatisation de télécharger un outil de scan contenant du code malveillant.
Ensuite, les hackers ont utilisé la même méthode pour prendre le contrôle des droits de publication de LiteLLM le 24 mars et ont téléchargé les versions 1.82.7 et 1.82.8 contenant du code malveillant.
À ce moment-là, le développeur Callum McMahon a testé une extension de l’éditeur Cursor, et le système a automatiquement téléchargé la dernière version de LiteLLM, ce qui a conduit à l’épuisement instantané des ressources de son ordinateur.
En utilisant l’assistant AI Debug, il a découvert qu’il y avait un défaut dans le code malveillant, déclenchant accidentellement une bombe de fork (Fork Bomb), c’est-à-dire un comportement malveillant qui se reproduit continuellement et épuise la mémoire et les ressources de calcul de l’ordinateur, ce qui a permis de révéler cette attaque cachée plus tôt que prévu.
Selon l’analyse de Snyk, le code malveillant de cette attaque se divise en trois phases :

  • Collecte de données : le programme scrute en profondeur les informations sensibles sur l’ordinateur victime, y compris les clés d’accès SSH pour les connexions à distance, les identifiants d’accès aux services cloud (AWS, GCP), ainsi que les seed phrases pour les portefeuilles de cryptomonnaies comme Bitcoin et Ethereum.
  • Chiffrement et fuite : les données collectées sont chiffonnées et envoyées discrètement à un domaine falsifié préenregistré par les hackers.
  • Permanence et mouvement latéral : le programme malveillant implante une porte dérobée dans le système, et s’il détecte Kubernetes, une plateforme open source utilisée pour le déploiement et la gestion automatisés d’applications conteneurisées, il tentera également de propager le code malveillant à tous les nœuds du cluster.

Chronologie de l’attaque de LiteLLM et Trivy

Votre portefeuille et vos identifiants sont-ils sécurisés ? Guide de détection et de remédiation
Si vous avez installé ou mis à jour le package LiteLLM après le 24 mars 2026, ou si votre environnement de développement automatisé utilise l’outil de scan Trivy, votre système a très probablement été compromis.
Selon les recommandations de Callum McMahon et Snyk, la première tâche de protection et de remédiation est de confirmer l’étendue de la compromission et de bloquer complètement la porte dérobée des hackers.


Kaspersky recommande, pour renforcer la sécurité des GitHub Actions, d’utiliser les outils open source suivants :

  • zizmor : c’est un outil d’analyse statique qui détecte les erreurs de configuration des GitHub Actions.
  • gato et Gato-X : ces deux versions d’outils sont principalement utilisées pour aider à identifier les pipelines d’automatisation présentant des vulnérabilités structurelles.
  • allstar : une application GitHub développée par la Open Source Security Foundation (OpenSSF), spécifiquement conçue pour configurer et appliquer des politiques de sécurité dans les organisations et dépôts GitHub.

Derrière l’attaque de LiteLLM, les hackers avaient déjà ciblé la tendance à l’élevage de homards
Selon l’analyse de Snyk et de l’ingénieur Huli, qui suit le domaine de la cybersécurité, les cerveaux derrière cette affaire sont un groupe de hackers appelé TeamPCP, qui est actif depuis décembre 2025 et établit fréquemment des canaux d’activité via des applications de messagerie comme Telegram.
Huli a souligné que les hackers, au cours de l’attaque, ont utilisé un composant d’attaque automatisé appelé hackerbot-claw. Ce nom s’inscrit habilement dans la tendance actuelle des agents AI pour l’élevage de homards (OpenClaw) dans le domaine de l’IA.
Ce groupe de hackers a ciblé avec précision des outils d’infrastructure à haut privilège et largement utilisés, y compris Trivy et LiteLLM, tout en sachant comment exploiter les dernières tendances en matière d’IA pour élargir l’échelle de l’attaque, démontrant des méthodes criminelles très organisées et ciblées.

Source de l’image : Huli Casual Chat | L’ingénieur Huli, qui suit le domaine de la cybersécurité, explique l’incident d’attaque de la chaîne d’approvisionnement de Trivy et LiteLLM (captures d’écran partielles)

Avec la vulgarisation des outils d’IA, la gestion des droits d’accès et la sécurité de la chaîne d’approvisionnement dans le processus de développement sont devenues des risques que toutes les entreprises ne peuvent plus ignorer.
Des cas récents, comme le piratage du compte NPM d’un développeur connu, qui a permis l’insertion de logiciels malveillants dans des packages JavaScript, mettant en danger la plupart des DApp et des portefeuilles ; ou bien Anthropic révélant que des hackers chinois avaient lancé la première grande opération d’espionnage en ligne automatisée à l’aide de Claude Code, devraient servir d’avertissement.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Un CEX victime d’un chantage refuse de céder : environ 2000 comptes concernés, les fonds clients ne sont pas menacés

Mesures d’applicationIncidents de sécurité

Un échange de cryptomonnaies a été victime d’un chantage de la part d’une organisation criminelle, qui affirme qu’elle rendra publics des vidéos d’accès aux systèmes internes. La plateforme a confirmé qu’il n’y a pas eu d’intrusion systémique, que les fonds des clients sont en sécurité ; en raison d’un comportement inapproprié du personnel du support client, les données d’environ 2000 comptes ont été consultées. Les autorisations concernées ont été résiliées et des contrôles de sécurité renforcés ont été mis en place. L’entreprise collabore avec les forces de l’ordre pour mener l’enquête.

GateNewsIl y a 1h

Le cofondateur de Solana toly : il faut construire une monnaie stable de couche de base qui ne peut être gelée que sur autorisation du tribunal.

solana newsÉvénements de tokensRéglementation et politiquesIncidents de sécurité

Le cofondateur de Solana, toly, a déclaré que l’industrie avait besoin d’un stablecoin qui ne peut être gelé que sur ordonnance du tribunal, s’opposant à d’autres facteurs de gel. Il suggère que le protocole émette, sur la couche de base, un stablecoin doté de stratégies de gel personnalisées et renforce les mesures de sécurité. Ce point de vue découle de la réaction récente de Circle à l’incident de piratage du protocole Drift, et a suscité un débat sur les stablecoins centralisés.

GateNewsIl y a 1h

L’attaquant encaisse 1B DOT, et se défait pour $237K ETH

ethereum newsIncidents de sécurité

Un incident de sécurité impliquant la version ERC-20 de Polkadot sur Ethereum a soulevé des inquiétudes, mettant en évidence les risques liés aux actifs enveloppés et inter-chaînes. Un attaquant a exploité une faille pour émettre et revendre 1 milliard de tokens DOT, provoquant un effondrement du marché et mettant en lumière des vulnérabilités dans la gestion des contrats intelligents.

CoinfomaniaIl y a 4h

La star de la musique G. Love perd 5,9 bitcoins dans une stupéfiante arnaque sur l’App Store

bitcoin newsIncidents de sécuritéRisque lié à l’exchange

_Le musicien G. Love perd 5,9 BTC dans une escroquerie d’application Ledger factice, soulevant de sérieuses inquiétudes concernant la sécurité des cryptos et la sensibilisation des utilisateurs dans le monde entier._ Une grande arnaque crypto a touché Garrett Dutton, largement connu sous le nom de G. Love. Le chanteur américain a perdu 5,9 Bitcoin d’une valeur d’environ 420 000. La perte est survenue lorsqu’il t

LiveBTCNewsIl y a 4h

Aave plongé dans une crise de confiance : les prestataires de services quittent massivement, « la technologie, la gouvernance et le contrôle des risques » sont entièrement en échec

Progression du projetIncidents de sécuritéRisque lié à l’exchange

Auteur : Jae, PANews Plutôt que la pression externe d’un marché baissier, c’est à l’intérieur d’Aave qu’apparaît d’abord une « oie noire ». Resté longtemps au sommet des protocoles de prêt, Aave subit aujourd’hui le plus violent bouleversement de son écosystème depuis sa création. Pas d’attaque de hackers, pas de faille de code : seulement une perte de contrôle du pouvoir et des intérêts qui s’opposent. Du départ résolu de BGD Labs, le pilier technique, à la rupture publique entre la force de gouvernance ACI (Aave Chan Initiative), puis à l’annonce officielle de la fin de collaboration avec le responsable du risque Chaos Labs : un vaste « retrait » des prestataires est en cours. La profondeur de cet affrontement dépasse de loin celle d’un simple litige de coopération ; il a déclenché

区块客Il y a 5h

Polkadot subit un exploit de pont, l’attaquant frappe 1B $DOT sur Ethereum

ethereum newsVolatilité des prixFlux de capitauxIncidents de sécuritéRisque lié à l’exchangeDonnées on-chain

Polkadot a subi une faille de sécurité majeure : un attaquant a frappé 1B $DOT coins sur Ethereum via un pont tiers, vidant plus de 240 000 $ en $ETH. Cet incident met en évidence des vulnérabilités persistantes dans l’infrastructure inter-chaînes et leur impact sur la stabilité du marché.

BlockChainReporterIl y a 5h
Commentaire
0/400
Aucun commentaire