Um recente incidente de segurança envolvendo o pacote Python “litellm” destacou vulnerabilidades críticas na cadeia de suprimentos de software. O grupo de ameaças conhecido como TeamPCP comprometeu as versões 1.82.7 e 1.82.8 do pacote, introduzindo um coletor de credenciais, uma ferramenta de movimentação lateral em Kubernetes e um backdoor persistente. A descoberta foi feita por empresas de segurança como Endor Labs e JFrog, que identificaram que a brecha ocorreu devido ao uso do Trivy no fluxo de trabalho CI/CD do pacote.
O ataque foi estruturado em três etapas: coleta de credenciais, movimentação lateral em Kubernetes e instalação de um backdoor persistente. O código malicioso foi inserido no arquivo “litellm/proxy/proxy_server.py” e executado automaticamente ao importar o módulo. Na versão 1.82.8, uma técnica mais agressiva foi usada, permitindo que o código fosse executado em qualquer inicialização de processo Python, aumentando o risco.
O ataque resultou na exfiltração de dados como chaves SSH e credenciais de nuvem para um domínio de comando e controle. As versões comprometidas foram removidas do PyPI, mas a ameaça persiste. A TeamPCP, que também comprometeu ferramentas como GitHub Actions e Docker Hub, está ampliando seu alcance em sistemas de código aberto.
Usuários são aconselhados a auditar seus ambientes para as versões comprometidas do litellm e reverter para versões seguras. É crucial isolar hosts afetados, verificar logs de rede e remover mecanismos de persistência. Além disso, a rotação de credenciais expostas é recomendada para mitigar riscos futuros.
Especialistas alertam que a campanha pode se intensificar, com a TeamPCP colaborando com grupos de extorsão como o LAPSUS$. A necessidade de monitoramento contínuo e auditoria de identidades não humanas é enfatizada para conter o impacto potencial.
Fonte:https://thehackernews.com/2026/03/teampcp-backdoors-litellm-versions.html
