Volver al inicio

Stealer en LiteLLM: robo de claves al inicio de Python

Stealer de credenciales descubierto en paquetes LiteLLM 1.82.7 y 1.82.8, que se activa al lanzar Python. Ataque TeamPCP afectó a miles de desarrolladores. Se requiere reemplazo de todas las claves y auditoría de CI/CD.

LiteLLM bajo ataque: stealer roba claves LLM
Advertisement 728x90

# # Código malicioso en LiteLLM: Robador de claves API se activa al iniciar Python

El compromiso de las versiones 1.82.7 y 1.82.8 de los paquetes LiteLLM puso en riesgo a miles de desarrolladores. Instalado desde PyPI (97 millones de descargas al mes), el paquete contenía un ladrón que exfiltra claves SSH, tokens de AWS, GCP y Azure, configuraciones de Kubernetes, billeteras de criptomonedas y todas las variables de entorno. Es una puerta de enlace para más de 100 proveedores de LLM, incluidos OpenAI y Anthropic. Las versiones comprometidas han sido eliminadas; la versión segura es la 1.82.6.

Mecanismo del ataque

El código malicioso se activaba automáticamente:

  • Versión 1.82.8: Se lanza en cada inicio de Python mediante archivos .pth, independientemente de si se importa la biblioteca o no. Cualquier script activaba el ladrón.
  • Versión 1.82.7: Se activa solo al importar LiteLLM en el código.

Los datos recolectados se cifraban y enviaban a models.litellm.cloud, un dominio que se hace pasar por litellm.ai. En la 1.82.8, un error en el malware provocó una fork bomb: generaba procesos hijo en cada lanzamiento de Python, lo que llevó a un agotamiento de RAM y su detección.

Google AdInline article slot

El compromiso ocurrió a través de una dependencia transitiva en el plugin MCP para IDE Cursor. Sin ese error, el ladrón habría funcionado de forma sigilosa.

Atribución del ataque

El ataque está vinculado al grupo TeamPCP. En una semana de marzo de 2026:

  • Compromiso de Trivy (Aqua Security).
  • Checkmarx y KICS.
  • LiteLLM (BerriAI).

Patrón: hackeo de la cuenta del mantenedor, publicación de versión maliciosa, ladrón en varias etapas. En el repositorio de BerriAI, commit «TeamPCP owns BerriAI», issue #24512 cerrado por los atacantes.

Google AdInline article slot

Recomendaciones para verificación y recuperación

  • Reemplazar todas las claves: SSH, tokens de AWS/GCP/Azure, configs de K8s, billeteras de criptomonedas, variables de entorno.
  • Verificar CI/CD: Cualquier pip install litellm sin fijación de versión podría haber descargado la versión maliciosa.
  • Auditar máquinas: En todos los lugares donde se instaló el paquete, incluso si no se usó.
  • Monitorear: Tráfico hacia models.litellm.cloud.

LiteLLM gestiona claves API de LLM, lo que lo convierte en un objetivo prioritario.

Lecciones clave

  • Roba todas las variables de entorno al iniciar Python (1.82.8).
  • 97 millones de descargas al mes: escala de la amenaza.
  • Activación automática sin importar la biblioteca.
  • Serie de ataques de TeamPCP contra herramientas de desarrollo.
  • Ironía: puerta de enlace para claves de LLM comprometida.

— Editorial Team

Advertisement 728x90

Leer después