Um ataque à cadeia de suprimentos no LiteLLM—baixado 3 milhões de vezes por dia—comprometeu a versão 1.82.8 no PyPI por cerca de 40 minutos, infectando mais de 40.000 downloads com malware projetado para roubar chaves API, credenciais cloud, chaves SSH e carteiras crypto. O pesquisador da FutureSearch Callum McMahon descobriu o ataque quando seu Mac de 48GB travou depois de simplesmente lançar um servidor MCP local através do Cursor, que automaticamente puxou o pacote comprometido.
Isso bate diferente dos ataques típicos de cadeia de suprimentos porque o LiteLLM fica no coração da maioria dos stacks de infraestrutura AI. Quando seu gateway API unificado para mais de 63 provedores AI fica comprometido, os atacantes não pegam apenas suas chaves OpenAI—eles pegam tudo. Credenciais AWS, configs Kubernetes, histórico shell, tudo. Vimos esse padrão duas semanas atrás com o ataque do scanner Trivy, e agora está acelerando. Ferramentas AI se tornaram o novo vetor de ataque preferido.
Ironicamente, a implementação desleixada do malware nos salvou de danos muito piores. O launcher do arquivo .pth criou uma bomba fork recursiva que derrubou sistemas infectados em minutos, alertando vítimas imediatamente. Sem esse erro de codificação, a exfiltração poderia ter rodado silenciosamente por semanas ou meses, observou Andrej Karpathy. A equipe de segurança do PyPI colocou o pacote em quarentena dentro de 40 minutos do relatório do McMahon.
Desenvolvedores devem auditar seus ambientes imediatamente usando o scanner open-source "who-touched-my-packages" da Point Wild ou a ferramenta litellm-checker da FutureSearch. Mais criticamente, fixem suas dependências AI em versões específicas e usem mirrors privados de pacotes para deployments de produção. A cadeia de suprimentos AI está sob ataque ativo—tratem ela adequadamente.