O grupo de hackers coñecido como TeamPCP comprometeu o paquete LiteLLM no repositorio PyPI e publicou versións maliciosas nos últimos días. A biblioteca Python, que actúa como unificador de acceso a varios grandes provedores de modelos lingüísticos a través dunha única API, rexistrou máis de 95 millóns de descargas no último mes e supera os 3,4 millóns de descargas diarias. As versións 1.82.7 e 1.82.8 contiñan código malicioso capaz de recoller credenciais sensibles e instalar mecanismos de persistencia en ambientes afectados. Especialistas identificou o incidente o 24 de marzo de 2026 e as versións comprometidas elimináronse rapidamente de PyPI.
LiteLLM serve como unha pasarela común para integrar servizos de intelixencia artificial en proxectos de desenvolvemento. A importación Qualquer do módulo afectado provocou a carga útil oculta. Endor Labs detallou que o código malicioso foi inxectado en ficheiros específicos dentro do paquete, incluídos proxy_server.py e un ficheiro .pth que se executa automaticamente ao iniciar o intérprete Python.
- Verificación inmediata das instalacións das versións 1.82.7 ou 1.82.8 en contornos locais e canalizacións CI/CD.
- Rotación urxente de todas as claves SSH, tokens de nube e segredos expostos.
- Inspección de artefactos como ficheiros .pth sospeitosos e servizos systemd disfrazados.
Mecanismo de inxección de código malicioso
Os actores malintencionados inseriron a carga útil codificada en base64 no ficheiro litellm/proxy/proxy_server.py nas versións comprometidas. A carga útil Essa decodícase e execútase cada vez que se importa o módulo. A versión 1.82.8 tamén engadiu un ficheiro litellm_init.pth que garante a execución automática sempre que se inicia o ambiente Python, ampliando o alcance do ataque mesmo sen o uso directo da biblioteca.
A carga útil segue unha secuencia de tres pasos ben definida. Primeiro, realiza o recoñecemento do sistema con comandos como hostname, whoami, uname e ip addr. A continuación, recompila credenciais diversas, incluíndo claves SSH, configuracións de nube para AWS, GCP e Azure, tokens de servizo Kubernetes, ficheiros .env, credenciais de base de datos, claves TLS privadas e datos da carteira de criptomonedas. Finalmente, intenta o movemento lateral en clusters Kubernetes despregando pods privilexiados en cada nodo.
Credenciais e detalles do roubo secreto
Os grupos de infostealer da variante TeamPCP Cloud Stealer recompilaron datos nun ficheiro cifrado tpcp.tar.gz. O ficheiro Esse envíase á infraestrutura controlada polo atacante no dominio models.litellm.cloud. Un servizo systemd disfrazado de “Telemetria Sistema Service” mantén contacto periódico con checkmarx.zone para descargar cargas adicionais e garantir a persistencia.
Os desenvolvedores que usan LiteLLM en canalizacións de IA ou aplicacións que acceden a varios provedores de LLM afrontan un risco elevado de exposición. O ataque herda semellanzas técnicas co compromiso anterior do escáner Aqua Security de Trivy, tamén atribuído ao mesmo grupo. Relatos indican que se produciron centos de miles de extraccións de datos, aínda que as cifras exactas seguen sendo verificadas independentemente.
Ataques anteriores do grupo TeamPCP
TeamPCP xa comprometera o proxecto Trivy e os compoñentes relacionados de Aqua Security nun futuro próximo. Essa secuencia de incidentes demostra un foco nas ferramentas amplamente adoptadas na cadea de desenvolvemento de software, especialmente aquelas integradas con fluxos CI/CD e ambientes nativos da nube. O grupo tamén explorou clusters Kubernetes con scripts que diferencian comportamentos por rexión xeográfica.
A persistencia instalada inclúe unha porta traseira de systemd que obtén automaticamente binarios adicionais. Analistas observaron intentos de borrar completamente os sistemas en configuracións específicas detectadas, mentres que noutros casos o foco permanece na recollida silenciosa de segredos.
Medidas recomendadas para as organizacións afectadas
As organizacións deben comprobar os rexistros de instalación e actualizar inmediatamente á versión 1.82.6 ou superior, que se considera limpa. Rotar todos os segredos e tokens que se atopen nos dispositivos potencialmente afectados é unha acción prioritaria para limitar os danos. Busca para ficheiros sospeitosos como ~/.config/sysmon/sysmon.py, /tmp/pglog e pods non autorizados no espazo de nomes do sistema kube axuda a identificar compromisos residuais.
O seguimento do tráfico de saída aos dominios asociados aos atacantes complementa as accións iniciais. Especialistas reforza que a rotación regular de credenciais reduce significativamente o risco de ataques en cascada na cadea de subministración de software. O persoal de seguridade de Equipes debe inspeccionar os ambientes Kubernetes para detectar movementos laterales non autorizados.
Análise técnica da carga útil persistente
A porta traseira instalada como servizo de usuario systemd mantén a comunicación co servidor remoto para recibir máis instrucións. A arquitectura Essa permite aos atacantes ampliar o control sobre os sistemas infectados ao longo do tempo. O mecanismo de exfiltración cifra os datos antes de envialos, o que dificulta a súa detección en tránsito.
Os desenvolvedores que manteñen dependencias de Python en contornos ou contedores compartidos deben auditar o historial de instalación recente. A popularidade de LiteLLM nos proxectos de intelixencia artificial aumenta o alcance potencial do incidente nos ecosistemas de desenvolvemento modernos.
Actualizacións sobre a eliminación de versións maliciosas
As versións 1.82.7 e 1.82.8 retiráronse de PyPI despois de que se identificou o problema. Mantenedores do proxecto emitiu alertas de seguridade e orientacións para os usuarios. A comunidade de seguridade está a seguir o caso para mapear os posibles impactos nos repositorios que dependen transitivamente de LiteLLM.
Os investigadores seguen analizando mostras do malware para identificar novas variantes ou comportamentos adicionais. Usuários que instalou as versións afectadas debe tratar todas as credenciais presentes nos seus sistemas como potencialmente expostas.
