LiteLLM vụ tấn công của hacker: 500,000 chứng chỉ bị rò rỉ, ví tiền điện tử có thể bị đánh cắp, làm thế nào để kiểm tra xem có bị ảnh hưởng không?

Tác giả: HIBIKI, thành phố mã hóa

LiteLLM bị tấn công chuỗi cung ứng, rò rỉ hàng trăm GB dữ liệu, 500.000 thông tin đăng nhập Bộ công cụ mã nguồn mở AI với lượng tải xuống hằng ngày lên tới 3,4 triệu lượt, LiteLLM, là chiếc cầu quan trọng để nhiều nhà phát triển kết nối nhiều mô hình ngôn ngữ lớn (LLM). Tuy nhiên, gần đây nó lại trở thành mục tiêu của tin tặc. Kaspersky ước tính, đợt tấn công này khiến hơn 20.000 kho mã nguồn gặp rủi ro bị lộ; tin tặc cũng tuyên bố đã đánh cắp hàng trăm GB dữ liệu bí mật và hơn 500.000 thông tin đăng nhập tài khoản, gây ảnh hưởng nghiêm trọng tới phát triển phần mềm và môi trường đám mây trên toàn cầu. Sau khi truy ngược từ các chuyên gia an ninh mạng, phát hiện nguồn gốc của vụ việc tin tặc LiteLLM lại chính là công cụ an ninh mã nguồn mở Trivy mà nhiều doanh nghiệp dùng để quét lỗ hổng hệ thống. Đây là một vụ tấn công chuỗi cung ứng dạng “lồng trong lồng” (Supply Chain Attack), tin tặc tấn công vào công cụ tin cậy ở tuyến trên mà mục tiêu dựa vào, từ đó lén lút nhét mã độc vào, giống như đầu độc nguồn nước trong nhà máy nước, khiến mọi người uống đều không hay biết mà bị dính bẫy.

Hình nguồn: Trivy ｜ Nguồn gốc của vụ tin tặc LiteLLM, hóa ra lại là công cụ an ninh mã nguồn mở Trivy mà nhiều doanh nghiệp dùng để quét lỗ hổng hệ thống.

Toàn bộ dòng sự kiện tấn công LiteLLM: từ công cụ an ninh tới “nổ dây chuyền” sang bộ công cụ AI Theo phân tích của công ty an ninh mạng Snyk và Kaspersky, vụ tấn công LiteLLM đã được cài “bùa” từ cuối tháng 2 năm 2026. Tin tặc tận dụng lỗ hổng trong CI/CD của GitHub (một quy trình tự động hóa kiểm thử và phát hành phần mềm) để đánh cắp thông tin đăng nhập (Token) của người duy trì Trivy. Do thông tin đăng nhập không bị thu hồi triệt để, đến ngày 19 tháng 3 tin tặc đã thành công sửa đổi nhãn phát hành của Trivy, khiến quy trình tự động tải về công cụ quét có chứa mã độc. Sau đó, tin tặc cũng dùng cùng thủ pháp, vào ngày 24 tháng 3 đã kiểm soát quyền phát hành của LiteLLM và tải lên các phiên bản 1.82.7 và 1.82.8 có chứa mã độc. Lúc này, khi nhà phát triển Callum McMahon đang kiểm tra tính năng mở rộng của trình biên tập Cursor, hệ thống tự động tải phiên bản LiteLLM mới nhất, khiến tài nguyên máy tính của anh ấy lập tức bị tiêu hao hết. Sau khi nhờ trợ lý AI Debug, anh ấy phát hiện trong mã độc có một khiếm khuyết, vô tình kích hoạt “bom nhánh” (Fork Bomb), tức là một hành vi độc hại không ngừng tự nhân bản và làm cạn kiệt bộ nhớ cũng như tài nguyên xử lý của máy tính—vì vậy cuộc tấn công kín đáo này mới bị lộ sớm. Theo phân tích của Snyk, mã độc của lần tấn công này được chia thành ba giai đoạn:

• Thu thập dữ liệu: Chương trình sẽ quét toàn diện các thông tin nhạy cảm trên máy tính nạn nhân, bao gồm khóa kết nối từ xa SSH, thông tin đăng nhập dịch vụ đám mây (AWS, GCP), và mã seed của các ví tiền điện tử như Bitcoin, Ethereum.
• Mã hóa và rò rỉ: Dữ liệu thu thập được sẽ được mã hóa, đóng gói và lén lút gửi tới các tên miền giả mà tin tặc đã đăng ký trước.
• Duy trì tiềm ẩn và di chuyển ngang: Mã độc sẽ cài cổng hậu môn trong hệ thống; nếu phát hiện Kubernetes—một nền tảng mã nguồn mở dùng để triển khai và quản lý tự động các ứng dụng container—thì nó cũng sẽ cố gắng lan mã độc tới tất cả các node trong toàn bộ cụm.

Dòng thời gian tấn công chuỗi cung ứng của LiteLLM và Trivy

Ví tiền và thông tin đăng nhập của bạn có an toàn không? Hướng dẫn kiểm tra và biện pháp khắc phục Nếu bạn đã cài đặt hoặc cập nhật gói LiteLLM sau ngày 24 tháng 3 năm 2026, hoặc môi trường phát triển tự động của bạn có sử dụng công cụ quét Trivy, thì hệ thống của bạn rất có thể đã bị xâm nhập. Theo khuyến nghị của Callum McMahon và Snyk, nhiệm vụ ưu tiên để phòng vệ và khắc phục là xác nhận phạm vi bị ảnh hưởng và chặn triệt để cổng hậu môn của tin tặc.

Kaspersky khuyến nghị, để tăng cường tính an toàn cho GitHub Actions, có thể sử dụng các công cụ mã nguồn mở sau:

• zizmor: Đây là một công cụ dùng để phân tích tĩnh và phát hiện các lỗi cấu hình trong GitHub Actions.
• gato và Gato-X: Hai phiên bản công cụ này chủ yếu để hỗ trợ nhận diện các pipeline quy trình tự động có lỗ hổng về mặt cấu trúc.
• allstar: Ứng dụng GitHub do OpenSSF (Quỹ An ninh Mã nguồn mở) phát triển, chuyên dùng để thiết lập và thực thi các chính sách bảo mật trong tổ chức và kho lưu trữ trên GitHub.

Hậu trường vụ tấn công LiteLLM: tin tặc đã nhắm tới trào lưu “nuôi tôm càng” từ lâu Theo phân tích của Snyk và kỹ sư Huli—người theo dõi lĩnh vực an ninh mạng—kẻ đứng sau vụ việc này là một nhóm tin tặc tên TeamPCP. Nhóm này đã bắt đầu hoạt động từ tháng 12 năm 2025 và thường xuyên lập các kênh hoạt động thông qua các ứng dụng liên lạc như Telegram. Huli cho biết, trong quá trình tấn công, tin tặc sử dụng một thành phần tấn công tự động có tên hackerbot-claw. Cái tên này khéo léo bắt chước trào lưu “nuôi tôm càng” (OpenClaw) rất được quan tâm gần đây trong cộng đồng AI—một tác nhân AI. Nhóm tin tặc đã nhắm chuẩn xác vào các công cụ hạ tầng có đặc quyền cao và được sử dụng rộng rãi, bao gồm Trivy và LiteLLM; đồng thời họ cũng biết tận dụng các xu hướng AI mới nhất để mở rộng quy mô tấn công, thể hiện phương thức phạm tội cực kỳ có tổ chức và nhắm mục tiêu rõ ràng.

Hình nguồn: Huli tùy tiện nói ｜ Kỹ sư Huli trong lĩnh vực an ninh mạng giải thích vụ tấn công chuỗi cung ứng Trivy và LiteLLM (một phần ảnh chụp màn hình)

Khi các công cụ AI ngày càng phổ biến, việc kiểm soát quyền hạn trong quy trình phát triển và bảo mật chuỗi cung ứng đã trở thành rủi ro mà mọi doanh nghiệp không thể bỏ qua. Ví dụ như trong những năm gần đây, tài khoản NPM của các nhà phát triển nổi tiếng bị xâm nhập, khiến các gói JavaScript bị cấy mã độc, làm cho đa số DApp và ví có thể gặp họa; hoặc các trường hợp mà Anthropic tiết lộ rằng tin tặc Trung Quốc đã phát động hành động gián điệp mạng tự động quy mô lớn đầu tiên trong lịch sử thông qua Claude Code—đều nên rút kinh nghiệm.