Retour à l'accueil

Stealer dans LiteLLM : vol de clés au démarrage Python

Stealer d'identifiants découvert dans les paquets LiteLLM 1.82.7 et 1.82.8, s'activant au lancement Python. Attaque TeamPCP a affecté des milliers de développeurs. Remplacement de toutes les clés et audit CI/CD requis.

LiteLLM sous attaque : stealer vole les clés LLM
Advertisement 728x90

# # Code malveillant dans LiteLLM : Voleur de clés API s'active au démarrage de Python

La compromission des paquets LiteLLM versions 1.82.7 et 1.82.8 a mis en danger des milliers de développeurs. Installé depuis PyPI (97 millions de téléchargements par mois), le paquet contenait un voleur qui exfiltre les clés SSH, les jetons AWS, GCP et Azure, les configurations Kubernetes, les portefeuilles crypto, et toutes les variables d'environnement. C'est une passerelle pour plus de 100 fournisseurs de LLM, dont OpenAI et Anthropic. Les versions compromises ont été supprimées ; la version sûre est la 1.82.6.

Mécanisme d'attaque

Le code malveillant s'est déclenché automatiquement :

  • Version 1.82.8 : Se lance à chaque démarrage de Python via des fichiers .pth, indépendamment de l'importation de la bibliothèque. N'importe quel script activait le voleur.
  • Version 1.82.7 : S'active uniquement lors de l'importation de LiteLLM dans le code.

Les données collectées étaient chiffrées et envoyées vers models.litellm.cloud — un domaine se faisant passer pour litellm.ai. Dans la version 1.82.8, un bug dans le malware a provoqué une fork bomb : création de processus enfants à chaque lancement de Python, entraînant un épuisement de la RAM et une détection.

Google AdInline article slot

La compromission s'est produite via une dépendance transitive dans le plugin MCP pour l'IDE Cursor. Sans ce bug, le voleur aurait fonctionné en toute discrétion.

Attribution de l'attaque

L'attaque est liée au groupe TeamPCP. En une semaine de mars 2026 :

  • Compromission de Trivy (Aqua Security).
  • Checkmarx et KICS.
  • LiteLLM (BerriAI).

Schéma : piratage du compte du mainteneur, publication d'une version malveillante, voleur en plusieurs étapes. Dans le dépôt BerriAI — commit « TeamPCP owns BerriAI », issue #24512 fermée par les attaquants.

Google AdInline article slot

Recommandations pour la vérification et la récupération

  • Remplacez toutes les clés : SSH, jetons AWS/GCP/Azure, configs K8s, portefeuilles crypto, variables d'environnement.
  • Vérifiez les CI/CD : Tout pip install litellm sans épinglage de version a pu récupérer la version malveillante.
  • Auditez les machines : Partout où le paquet a été installé, même s'il n'a pas été utilisé.
  • Surveillez : Le trafic vers models.litellm.cloud.

LiteLLM gère les clés API des LLM, ce qui en fait une cible de choix.

Points clés à retenir

  • Vole toutes les variables d'environnement au démarrage de Python (1.82.8).
  • 97 millions de téléchargements par mois — ampleur de la menace.
  • Activation automatique sans importer la bibliothèque.
  • Série d'attaques TeamPCP sur les outils de développement.
  • Ironie : Passerelle pour les clés LLM compromise.

— Editorial Team

Advertisement 728x90

Lire ensuite