Un ataque a la cadena de suministro contra LiteLLM—descargado 3 millones de veces diariamente—comprometió la versión 1.82.8 en PyPI por aproximadamente 40 minutos, infectando más de 40,000 descargas con malware diseñado para robar claves API, credenciales cloud, claves SSH y wallets crypto. El investigador de FutureSearch Callum McMahon descubrió el ataque cuando su Mac de 48GB se congeló después de simplemente lanzar un servidor MCP local a través de Cursor, que automáticamente descargó el paquete comprometido.
Esto pega diferente que los ataques típicos de cadena de suministro porque LiteLLM está en el corazón de la mayoría de los stacks de infraestructura AI. Cuando tu gateway API unificado para más de 63 proveedores AI se compromete, los atacantes no solo obtienen tus claves OpenAI—obtienen todo. Credenciales AWS, configs Kubernetes, historial shell, todo. Vimos este patrón hace dos semanas con el ataque del scanner Trivy, y ahora se está acelerando. Las herramientas AI se han convertido en el nuevo vector de ataque de elección.
Irónicamente, la implementación chapucera del malware nos salvó de un daño mucho peor. El launcher del archivo .pth creó una bomba fork recursiva que colapsó los sistemas infectados en minutos, alertando inmediatamente a las víctimas. Sin este error de codificación, la exfiltración podría haber corrido silenciosamente por semanas o meses, notó Andrej Karpathy. El equipo de seguridad de PyPI puso en cuarentena el paquete dentro de 40 minutos del reporte de McMahon.
Los desarrolladores deberían auditar sus entornos inmediatamente usando el scanner open-source "who-touched-my-packages" de Point Wild o la herramienta litellm-checker de FutureSearch. Más críticamente, fijen sus dependencias AI a versiones específicas y usen mirrors privados de paquetes para deployments de producción. La cadena de suministro AI está bajo ataque activo—trátenla en consecuencia.