Un hilo que se está extendiendo rápidamente en Lobsters y HN ahora mismo trata sobre algo que ocurrió tan recientemente como ayer: LiteLLM, una de las bibliotecas de Python más utilizadas para interactuar con las API de LLM, fue empleada como vector de ataque en un clásico ataque a la cadena de suministro. FutureSearch ha publicado un análisis detallado en su blog, y la reacción de la comunidad es fuerte — esto tomó a muchos por sorpresa.

¿Cómo sucedió? El actor de amenazas que opera bajo el nombre "TeamPCP" obtuvo las credenciales de publicación de PyPI de LiteLLM explotando una versión vulnerable de Trivy — una herramienta de escaneo de seguridad que se ejecutaba en las propias pipelines de construcción de LiteLLM. En otras palabras: la herramienta destinada a proteger se convirtió en el arma. Es una ironía amarga.

Las dos versiones maliciosas estuvieron disponibles públicamente en PyPI durante aproximadamente tres horas antes de que el registro de paquetes las pusiera en cuarentena. Esto suena a poco tiempo, pero en un entorno de desarrollo activo, tres horas son más que suficientes para causar daño.

La versión 1.82.8 fue particularmente desagradable: instaló un archivo .pth que ejecutaba el malware automáticamente con cualquier invocación de Python — incluso si nunca importaste litellm directamente.

El malware fue diseñado para rastrear el host en busca de secretos: credenciales de AWS y GCP, tokens de GitHub, claves SSH, archivos kubeconfig, credenciales de Docker, monederos de criptomonedas (Bitcoin, Ethereum, Litecoin) y archivos de historial de shell. Además, intentó el movimiento lateral en clústeres de Kubernetes e instaló una puerta trasera persistente de systemd. Esto no es trabajo de aficionados.

El ataque ya está vinculado a compromisos anteriores de Trivy y Checkmarx KICS basados en infraestructura y metodología superpuestas — el mismo nombre de archivo tpcp.tar.gz y las claves RSA reaparecen.

¿Qué debes hacer ahora?

Verifica qué versión estás ejecutando: pip show litellm | grep Version. Si tienes la 1.82.7 o 1.82.8, es modo de crisis: rota absolutamente todas las credenciales que estaban disponibles en ese host. Fija la versión a <=1.82.6 en todos los entornos. Revisa los registros de red en busca de tráfico hacia models.litellm.cloud y checkmarx.zone — estos son dominios C2 utilizados en el ataque.

Esta es una señal temprana de fuentes de la comunidad, y el alcance total del daño aún no se conoce. Pero el hecho de que haya ocurrido es una advertencia poderosa: las pipelines de CI/CD son un objetivo atractivo, y las herramientas de seguridad no fijadas en el proceso de construcción son una superficie de ataque en la que pocos piensan.

Mantente atento a esto — los medios de seguridad convencionales probablemente lo recogerán durante el día.