Volver al inicio

Hackeo de LiteLLM: Ataque a PyPI y Fuga de Datos de Mercor

Grupo de Hackers TeamPCP Comprometió LiteLLM vía Trivy, Publicando Versiones Maliciosas en PyPI. El Ataque Llevó a Fuga de Secretos y 4 TB de Datos de Mercor. El Material Desglosa el Mecanismo, Consecuencias y Medidas de Protección para Desarrolladores.

Hackers Hackearon LiteLLM: 97 Millones de Instalaciones en Riesgo
Advertisement 728x90

# Ataque a la Cadena de Suministro en LiteLLM: Cómo los Hackers Vulneraron la Startup de IA Mercor

La plataforma de IA Mercor, que se especializa en reclutamiento para entrenar modelos de IA, cayó víctima de un ataque a través del compromiso de la biblioteca de Python LiteLLM. El incidente afectó a una plataforma valorada en 10 mil millones de dólares que paga más de 2 millones de dólares diarios a contratistas. Los hackers comprometieron Trivy, obtuvieron acceso a PyPI e lanzaron versiones maliciosas 1.82.7 y 1.82.8 de la biblioteca, que se usa como proxy para APIs de LLM.

Mecanismo del Ataque a través de PyPI

El ataque comenzó el 24 de marzo cuando el grupo TeamPCP hackeó el escáner de vulnerabilidades Trivy, extrajo un token de publicación e subió paquetes infectados de LiteLLM. La biblioteca se descarga 97 millones de veces al mes y sirve como interfaz unificada para modelos de OpenAI, Anthropic y otros.

El código malicioso se activó al instalarse, sin necesidad de importar litellm. Extrajo:

Google AdInline article slot
  • Claves SSH;
  • Credenciales de nube;
  • Secretos de Kubernetes;
  • Claves de API de proveedores.

La brecha se descubrió por un fallo del malware: un archivo .pth provocó un bifurcado recursivo de procesos, causando una bomba de bifurcación que colapsó el sistema de un ingeniero en FutureSearch y expuso el incidente.

Consecuencias para Mercor y el Ecosistema

El grupo Lapsus$ afirmó haber robado 4 TB de datos de Mercor a través de Tailscale VPN. El volcado incluye:

  • 939 GB de código fuente;
  • 211 GB de base de datos de usuarios;
  • 3 TB de entrevistas en video y documentos de verificación.

El análisis de muestras reveló datos de Slack, sistemas de tickets y registros de agentes de IA. Mercor confirmó que contuvo el incidente, pero se negó a comentar sobre fugas de datos de clientes. LiteLLM eliminó las versiones, pausó los lanzamientos y cambió de proveedores de cumplimiento a Vanta.

Google AdInline article slot

Esto forma parte de la campaña de TeamPCP: Axios fue comprometido previamente en npm, afectando a más de 60 paquetes en varios registros.

Vulnerabilidades en la Cadena de Suministro del Ecosistema de Python

LiteLLM, como proxy para APIs de LLM, es crítico para aplicaciones de IA. El ataque resalta riesgos como:

  • Dependencia de paquetes abiertos sin verificación;
  • Falta de sandboxing durante la instalación;
  • Escala masiva de distribución (97 millones de instalaciones/mes).

Se recomienda a los desarrolladores:

Google AdInline article slot
  • Verificar hashes de paquetes antes de instalar;
  • Usar entornos virtuales con versiones fijadas;
  • Monitorear dependencias con herramientas como Dependabot o Snyk;
  • Auditar cadenas de suministro usando el marco SLSA.

Lecciones Clave

  • Escala de la Amenaza: Una dependencia comprometida impactó a miles de proyectos de IA que usan LiteLLM como puerta de entrada a LLMs.
  • Detalles Técnicos: El malware robó secretos durante pip install, sin importaciones en tiempo de ejecución, mediante el mecanismo .pth.
  • Respuesta: PyPI eliminó los paquetes, LiteLLM está realizando una auditoría; Mercor contrató expertos forenses.
  • Contexto Más Amplio: La campaña de TeamPCP afectó a >60 paquetes, incluyendo en npm.

El incidente subraya la necesidad de enfoques de confianza cero en la seguridad de la cadena de suministro para la infraestructura de IA.

— Editorial Team

Advertisement 728x90

Leer después