# # Código malicioso en LiteLLM: Robador de claves API se activa al iniciar Python
El compromiso de las versiones 1.82.7 y 1.82.8 de los paquetes LiteLLM puso en riesgo a miles de desarrolladores. Instalado desde PyPI (97 millones de descargas al mes), el paquete contenía un ladrón que exfiltra claves SSH, tokens de AWS, GCP y Azure, configuraciones de Kubernetes, billeteras de criptomonedas y todas las variables de entorno. Es una puerta de enlace para más de 100 proveedores de LLM, incluidos OpenAI y Anthropic. Las versiones comprometidas han sido eliminadas; la versión segura es la 1.82.6.
Mecanismo del ataque
El código malicioso se activaba automáticamente:
- Versión 1.82.8: Se lanza en cada inicio de Python mediante archivos .pth, independientemente de si se importa la biblioteca o no. Cualquier script activaba el ladrón.
- Versión 1.82.7: Se activa solo al importar LiteLLM en el código.
Los datos recolectados se cifraban y enviaban a models.litellm.cloud, un dominio que se hace pasar por litellm.ai. En la 1.82.8, un error en el malware provocó una fork bomb: generaba procesos hijo en cada lanzamiento de Python, lo que llevó a un agotamiento de RAM y su detección.
El compromiso ocurrió a través de una dependencia transitiva en el plugin MCP para IDE Cursor. Sin ese error, el ladrón habría funcionado de forma sigilosa.
Atribución del ataque
El ataque está vinculado al grupo TeamPCP. En una semana de marzo de 2026:
- Compromiso de Trivy (Aqua Security).
- Checkmarx y KICS.
- LiteLLM (BerriAI).
Patrón: hackeo de la cuenta del mantenedor, publicación de versión maliciosa, ladrón en varias etapas. En el repositorio de BerriAI, commit «TeamPCP owns BerriAI», issue #24512 cerrado por los atacantes.
Recomendaciones para verificación y recuperación
- Reemplazar todas las claves: SSH, tokens de AWS/GCP/Azure, configs de K8s, billeteras de criptomonedas, variables de entorno.
- Verificar CI/CD: Cualquier
pip install litellmsin fijación de versión podría haber descargado la versión maliciosa. - Auditar máquinas: En todos los lugares donde se instaló el paquete, incluso si no se usó.
- Monitorear: Tráfico hacia models.litellm.cloud.
LiteLLM gestiona claves API de LLM, lo que lo convierte en un objetivo prioritario.
Lecciones clave
- Roba todas las variables de entorno al iniciar Python (1.82.8).
- 97 millones de descargas al mes: escala de la amenaza.
- Activación automática sin importar la biblioteca.
- Serie de ataques de TeamPCP contra herramientas de desarrollo.
- Ironía: puerta de enlace para claves de LLM comprometida.
— Editorial Team
Aún no hay comentarios.