El paquete Python litellm, ampliamente utilizado en entornos de desarrollo, fue comprometido en PyPI. Las versiones 1.82.7 y 1.82.8 incluyen código malicioso destinado a exfiltrar datos sensibles. Cualquier entorno actualizado desde el 24 de marzo de 2026 enfrenta el riesgo de tener credenciales vulnerables por parte de los atacantes.
Un atacante se apoderó de las cuentas de mantenimiento del proyecto litellm, eludiendo los protocolos estándar de lanzamiento de GitHub para publicar versiones comprometidas directamente en PyPI. Dado que litellm actúa como puente entre desarrolladores y casi todos los endpoints de LLM principales, se incorpora frecuentemente como dependencia, permitiendo que el payload se propague por la infraestructura.
El payload funciona como un stealer orientado a la nube que se ejecuta automáticamente al iniciarse el intérprete Python. Acciona sobre configuraciones de AWS, GCP y Azure, consultando metadatos internos para obtener roles de instancia no autorizados y acceder a instancias específicas.
En entornos Kubernetes, el ataque persiste si detecta un token de cuenta de servicio, ampliando las capacidades del atacante. Para mitigar esta amenaza, las organizaciones deben bloquear dependencias mediante hashes criptográficos y validar lanzamientos mediante infraestructura externa para evaluar malware de supply chain antes de su despliegue.