LiteLLM 1.82.8 bị tấn công supply chain: Malware lén cài qua PyPI trong 72 phút

Một cuộc tấn công supply chain nhắm vào thư viện AI phổ biến LiteLLM đã được phát hiện và ngăn chặn trong vòng chưa đầy 72 phút, minh họa cách AI có thể tăng tốc cả phát hiện và ứng phó với mối đe dọa bảo mật. Phiên bản độc hại LiteLLM 1.82.8 được tải lên PyPI chứa mã độc đánh cắp thông tin xác thực và tấn công lateral movement trong môi trường Kubernetes.

Phát hiện từ sự cố hệ thống đóng băng

Sự việc bắt đầu khi một nhà phát triển nhận thấy laptop bị đóng băng với 11.000 tiến trình Python chạy đồng thời, khiến hệ thống gần như tê liệt. Sau khi buộc khởi động lại, họ bắt đầu điều tra với sự hỗ trợ của Claude Code. Ban đầu, hiện tượng được nghi ngờ là lỗi vòng lặp từ chính Claude Code, nhưng phân tích sâu hơn đã phát hiện dấu vết của malware.

Malware ẩn trong gói LiteLLM trên PyPI

Điều tra cho thấy phiên bản LiteLLM 1.82.8 trên PyPI không có tag tương ứng trên GitHub - chỉ tồn tại phiên bản 1.82.6. Khi tải xuống và kiểm tra trong môi trường Docker cách ly, gói này chứa file litellm_init.pth (34KB) với chức năng độc hại. Malware này cố gắng cài đặt persistence (tính dai dẳng) trên hệ thống nạn nhân, tạo file tại ~/.config/sysmon/sysmon.py và thực thi các lệnh base64 được mã hóa.

Quy trình tấn công và mục tiêu của mã độc

Mã độc được thiết kế để:

• Đánh cắp thông tin xác thực từ các dịch vụ đám mây và nền tảng AI
• Thực hiện lateral movement trong cụm Kubernetes
• Exfiltrate dữ liệu ra bên ngoài
• Tạo fork bomb với hàng ngàn tiến trình để làm tê liệt hệ thống

May mắn thay, việc khởi động lại hệ thống đã ngắt quá trình cài đặt persistence, vô hiệu hóa một phần mã độc. Không có cơ chế khởi động lại nào như crontab hay launchd được tìm thấy sau khi hệ thống khởi động lại.

72 phút từ phát hiện đến công bố

Nhờ sự hỗ trợ của Claude Code, toàn bộ quá trình từ phân tích malware đến viết bài công bố chỉ mất 72 phút. AI đã hỗ trợ:

• Phân tích log hệ thống và tiến trình
• Kiểm tra gói độc hại trong môi trường cách ly
• Viết bài blog thông báo sự cố
• Tạo và merge pull request
• Chia sẻ thông tin lên các cộng đồng r/Python, r/netsec, r/LocalLLaMA

Điều đáng chú ý là nhà phát triển này không phải chuyên gia bảo mật, nhưng đã có thể phối hợp hiệu quả với AI để ứng phó với cuộc tấn công phức tạp.

Bài học về bảo mật hệ sinh thái AI

Sự kiện này làm nổi bật nhiều vấn đề bảo mật trong hệ sinh thái AI mã nguồn mở:

• PyPI và các package manager vẫn là điểm yếu cho tấn công supply chain
• Các thư viện AI phổ biến như LiteLLM trở thành mục tiêu hấp dẫn
• AI tooling có thể được sử dụng cho cả tấn công và phòng thủ
• Cần skepticism lành mạnh khi làm việc với các gói phần mềm

Góc nhìn

Vụ tấn công LiteLLM là hồi chuông cảnh báo cho cộng đồng AI Việt Nam đang phát triển mạnh. Nhiều startup và developer Việt sử dụng các thư viện AI mã nguồn mở như LiteLLM để xây dựng sản phẩm. Sự cố này nhấn mạnh tầm quan trọng của việc: (1) Kiểm tra kỹ dependencies trước khi cập nhật, (2) Thiết lập cơ chế monitoring cho hệ thống production, và (3) Có kế hoạch ứng phó sự cố nhanh chóng. Trong tương lai, các mô hình AI lớn có thể cần được huấn luyện để nhận diện tốt hơn các mẫu tấn công supply chain, biến chúng thành đồng minh đắc lực trong cuộc chiến bảo mật phần mềm.