O chefe de segurança da informação da SlowMist, 23pds, revelou em 25 de março que a biblioteca Python de gateway de IA LiteLLM, com mais de 97 milhões de downloads mensais, foi alvo de um ataque à cadeia de suprimentos no PyPI. As versões comprometidas 1.82.7 e 1.82.8 permaneceram na plataforma por pelo menos duas horas. Os atacantes, ao implantarem múltiplas camadas de malware, conseguiram roubar informações, incluindo detalhes de carteiras de criptomoedas.
Razões estruturais pelas quais o LiteLLM se tornou um alvo de alto valor na cadeia de suprimentos
O LiteLLM atua como uma interface unificada na pilha de tecnologia de IA, suportando chamadas a modelos de principais provedores como OpenAI, Anthropic e Google. Sua arquitetura fica diretamente entre o aplicativo e vários provedores de serviços de IA, permitindo o acesso a uma grande quantidade de chaves API, variáveis de ambiente e dados sensíveis de configuração.
Ao comprometer esse tipo de pacote intermediário, os atacantes podem interceptar credenciais sensíveis que atravessam ambientes de desenvolvimento local, pipelines de CI/CD e infraestrutura em nuvem, sem precisar invadir diretamente os serviços upstream. Atualmente, as autoridades estão avaliando se o ataque está relacionado às organizações de ameaças TeamPCP e LAPSUS$, enquanto a investigação de atribuição ainda está em andamento. O incidente foi inicialmente reportado publicamente por um usuário do GitHub e posteriormente analisado por pesquisadores externos da Futuresearch.
Mecanismo de operação de cargas maliciosas em três camadas
O código malicioso embutido nas versões comprometidas utiliza uma arquitetura de três camadas, implementada por meio de um script Python codificado em Base64 obfuscado:
Primeira camada (camada de vazamento de dados): Coleta informações sensíveis locais, criptografa usando AES-256-CBC, e criptografa a chave de sessão com uma chave pública RSA embutida. O pacote é então compactado em tpcp.tar.gz e enviado para um endpoint remoto controlado pelos atacantes.
Segunda camada (camada de reconhecimento e coleta de credenciais): Enumera informações do sistema, variáveis de ambiente, e extrai sistematicamente chaves SSH, credenciais Git, credenciais de nuvem AWS/GCP/Azure, configurações de Kubernetes, dados de carteiras de criptomoedas e configurações de CI/CD. Em alguns casos, o malware tenta usar credenciais roubadas para consultar APIs da AWS ou manipular clusters Kubernetes.
Terceira camada (camada de persistência e controle remoto): Escreve o arquivo sysmon.py no disco e o configura como um serviço do sistema. A cada 50 minutos, realiza uma consulta a um endpoint controlado pelos atacantes, permitindo que eles enviem continuamente novas funcionalidades maliciosas para o sistema infectado.
As comunicações maliciosas utilizam domínios como models[.]litellm[.]cloud e checkmarx[.]zone.
Recomendações de mitigação para organizações afetadas
Organizações que tenham instalado ou executado versões comprometidas do LiteLLM (1.82.7 ou 1.82.8) devem considerar seus sistemas como comprometidos. Como o malware possui capacidades de persistência e pode ter implantado cargas adicionais, simplesmente remover o pacote não é suficiente.
Recomenda-se imediatamente tomar as seguintes ações: trocar todas as credenciais potencialmente expostas (incluindo chaves de acesso AWS/GCP/Azure, chaves SSH e chaves API); revisar logs em busca de conexões de saída suspeitas com os domínios models[.]litellm[.]cloud ou checkmarx[.]zone; remover arquivos maliciosos conhecidos como tpcp.tar.gz, /tmp/pglog, /tmp/.pg_state e o serviço relacionado a sysmon.py; e, se possível, reconstruir o sistema afetado a partir de uma imagem limpa conhecida.
Perguntas frequentes
Quais versões do LiteLLM foram afetadas por este ataque à cadeia de suprimentos?
As versões comprometidas são LiteLLM 1.82.7 e 1.82.8, com código malicioso embutido em proxy_server.py (afetando ambas as versões) e em litellm_init.pth (apenas na versão 1.82.8). Os usuários devem verificar a versão instalada e atualizá-la para a versão mais recente e segura imediatamente.
Que tipos de informações sensíveis podem ter sido roubadas neste ataque?
O malware coleta chaves SSH, credenciais de nuvem AWS/GCP/Azure, configurações de Kubernetes, tokens de contas de serviço, credenciais Git, chaves de API em variáveis de ambiente, histórico de comandos shell, dados de carteiras de criptomoedas e senhas de bancos de dados. O ataque abrange ambientes de desenvolvimento local, pipelines de CI/CD e infraestrutura em nuvem.
Como verificar se meu sistema foi comprometido?
Verifique se há arquivos como tpcp.tar.gz, /tmp/pglog ou /tmp/.pg_state, além de serviços persistentes relacionados a sysmon.py. Além disso, revise registros de conexões de saída para identificar comunicações com os domínios maliciosos mencionados acima.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
LayerZero publica pedido de desculpas e reconhece uma falha de design na configuração do 1/1 DVN: atualização padrão completa para 5/5
O protocolo de interconexão LayerZero divulgou um pedido público de desculpas em 9 de maio (horário dos EUA), reconhecendo uma falha de design em seu esquema no hack do Kelp DAO. A CoinDesk, citando um post oficial do blog da LayerZero, escreveu: “A primeira coisa a fazer: um pedido de desculpas tardio. Permitir que um DVN opere em modo 1/1 para transações de alto valor foi um erro.” Essa posição veio após semanas em que havia a acusação de “escolhas de configuração do próprio Kelp”, e foi trans
ChainNewsAbmedia2h atrás
Ataques tipo “Crypto Wrench” disparam 41% em 2026, com $101M perdidos nos primeiros quatro meses: CertiK
De acordo com a CertiK, os detentores de criptomoedas perderam aproximadamente US$ 101 milhões com ataques de aliciamento (“wrench attacks”) nos primeiros quatro meses de 2026, com 34 incidentes verificados globalmente — um aumento de 41% em relação ao mesmo período de 2025. Se a tendência continuar, a empresa estima perdas na casa de centenas de milhões ao longo do ano. Notavelmente, 82% dos ataques ocorreram na Europa, com a França registrando 24 incidentes. Os ataques de aliciamento, agressõe
GateNews5h atrás
LayerZero emite pedido público de desculpas pelo exploit da Kelp DAO e admite falha na configuração de um único verificador
De acordo com a The Block, a LayerZero emitiu uma apologia pública na sexta-feira por sua gestão do exploit de 18 de abril, que drenou US$ 292 milhões em rsETH da ponte cross-chain do Kelp DAO. O protocolo reconheceu que cometeu um erro ao permitir que sua Decentralized Verifier Network atuasse como único verificador para transações de alto valor, revertendo sua posição anterior, que culpava as escolhas de configuração do Kelp DAO. A LayerZero afirmou que o exploit afetou aproximadamente 0,14% d
GateNews9h atrás
Ataques com “Crypto Wrench” aumentam 41% em 2026, mirando familiares
A empresa de segurança cripto CertiK estima que detentores de criptomoedas perderam aproximadamente US$ 101 milhões em ataques com “wrench” (chave inglesa) nos primeiros quatro meses de 2026, o que representa um aumento de 41% nos incidentes verificados em comparação com o mesmo período de 2025. Se a tendência continuar nesse ritmo, as perdas podem chegar a vários centenas de milhões de dólares ao longo do ano de 2026. Ataques com “wrench” — um termo de cibersegurança para agressões físicas e te
CryptoFrontier11h atrás
Vulnerabilidade de “Falha ao copiar” no Linux listada pela CISA; um código de 10 linhas permite escalonamento de privilégios para root
De acordo com a BlockBeats, em 9 de maio, a vulnerabilidade do kernel Linux "Copy Fail" foi adicionada ao catálogo de Known Exploited Vulnerabilities (KEV) da CISA. A falha afeta principais distribuições Linux desde 2017 e permite que atacantes com permissões regulares de usuário façam escalada para acesso root usando aproximadamente 10 linhas de código Python. Como vários componentes da infraestrutura de criptomoedas dependem do Linux — incluindo exchanges, nós de validadores, pools de mineraçã
GateNews11h atrás
O Chrome baixa automaticamente um modelo de IA Gemini Nano com vários gigabytes em 9 de maio, gerando preocupações de segurança na comunidade cripto
De acordo com a BlockBeats, em 9 de maio o Chrome baixou automaticamente para os dispositivos dos usuários um arquivo de modelo de IA com vários gigabytes (Gemini Nano) para detecção local de fraude, resumo de páginas da web e recursos de IA, sem consentimento explícito. Embora o Google tenha afirmado que a execução local de IA melhora a privacidade e a segurança, usuários de cripto levantaram preocupações sobre a falta de transparência e de autorização explícita. À medida que navegadores cada v
GateNews11h atrás
