Um grupo de cibercriminosos conhecido como TeamPCP comprometeu versões do pacote Python litellm, introduzindo versões maliciosas 1.82.7 e 1.82.8. Essas versões continham um coletor de credenciais, ferramentas para movimentação lateral em Kubernetes e um backdoor persistente. A descoberta foi feita por empresas de segurança como Endor Labs e JFrog, que identificaram a publicação dos pacotes comprometidos em 24 de março de 2026. O ataque explorou a integração do Trivy no fluxo de trabalho CI/CD do pacote.
O ataque é composto por três etapas: coleta de credenciais, movimentação lateral em Kubernetes e instalação de um backdoor persistente. As credenciais coletadas incluem chaves SSH, credenciais de nuvem e carteiras de criptomoedas. Os dados são enviados para um domínio de comando e controle. A versão 1.82.8 introduziu um vetor mais agressivo, executando código malicioso automaticamente em processos Python.
O ataque faz parte de uma campanha maior do TeamPCP, que tem como alvo ferramentas de segurança e infraestrutura de código aberto. A campanha já afetou cinco ecossistemas, incluindo GitHub Actions e PyPI. O grupo afirmou em seu canal no Telegram que continuará suas atividades, destacando falhas na segurança moderna. Usuários são aconselhados a auditar suas instalações e rotacionar credenciais expostas.
Relatórios indicam que o TeamPCP pode estar colaborando com o grupo de extorsão LAPSUS$, ampliando o impacto do ataque. A presença do litellm em 36% dos ambientes de nuvem torna o ataque ainda mais preocupante, exigindo ações imediatas das equipes de segurança para mitigar os danos.
Fonte:https://thehackernews.com/2026/03/teampcp-backdoors-litellm-versions.html
