IA em Foco
Voltar para o blog
Machine Learning

Ataque à Cadeia de Suprimentos do PyPI Compromete LiteLLM e Exfiltra Informações Sensíveis

31 de março de 2026
18:05
PythonmalwaredependênciasPyPILiteLLMOpen SourceSegurançaInteligência Artificialataque cadeia de suprimentosdevsecops
Ataque à Cadeia de Suprimentos do PyPI Compromete LiteLLM e Exfiltra Informações Sensíveis

Contexto do Ataque à LiteLLM no PyPI

Em março de 2026, o pesquisador Callum McMahon, da FutureSearch, identificou um ataque à cadeia de suprimentos envolvendo o pacote LiteLLM disponível no PyPI, o repositório oficial de pacotes Python. A versão comprometida, litellm 1.82.8, foi baixada mais de 40 mil vezes antes de ser isolada, embora o LiteLLM seja normalmente baixado cerca de 3 milhões de vezes por dia.

Funcionamento do Ataque e Impactos

O pacote malicioso continha um payload que permitia a coleta e exfiltração de informações sensíveis, incluindo:

  • Chaves SSL e SSH
  • Credenciais de provedores de nuvem
  • Configurações do Kubernetes
  • Credenciais do Git
  • Chaves de API
  • Histórico de comandos do shell
  • Carteiras de criptomoedas
  • Outros segredos armazenados localmente

Como relatado por Andrej Karpathy no X, o malware teria causado um impacto potencialmente muito maior, mas um erro na sua implementação — um loop recursivo exponencial causado pelo arquivo .pth — fez com que o processo travasse o sistema do próprio pesquisador, alertando para a presença maliciosa.

Como o Ataque Foi Possível

A vulnerabilidade explorada permitiu que invasores obtivessem acesso não autorizado ao pipeline de publicação do LiteLLM, facilitado por uma falha no Trivy, ferramenta de segurança utilizada na cadeia de desenvolvimento. Assim, os atacantes conseguiram inserir a versão comprometida no PyPI.

Resposta e Mitigações

Após a detecção, o pacote foi isolado em aproximadamente 40 minutos pela equipe do PyPI e pelos mantenedores do LiteLLM. Contudo, o risco se estendeu para todos os projetos que dependiam da versão 1.82.8 do LiteLLM, pois a cadeia de dependências também foi afetada indiretamente.

Para auxiliar a comunidade, a FutureSearch lançou a ferramenta litellm-checker, que permite aos mantenedores verificar se seus projetos foram impactados pelo ataque. Além disso, a Point Wild, empresa especializada em segurança cibernética com uso de IA, disponibilizou o who-touched-my-packages, um scanner de dependências que combina análise comportamental com detecção orientada por IA para identificar ameaças de cadeia de suprimentos, incluindo zero-days.

Por que Este Caso Importa para o Mundo Real

Com o crescimento exponencial do uso de bibliotecas open source, especialmente em inteligência artificial e machine learning, ataques à cadeia de suprimentos representam um risco crítico para a segurança de sistemas corporativos e pessoais. O incidente com LiteLLM evidencia a necessidade de:

  • Auditoria rigorosa das dependências
  • Implementação de práticas de DevSecOps, incluindo a cultura de "shift left" em segurança
  • Uso de ferramentas avançadas para monitoramento e detecção de ameaças em tempo real
  • Transparência e resposta rápida a incidentes

Além disso, reforça a importância do Software Bill of Materials (SBOM) para rastrear as origens e versões de bibliotecas utilizadas, minimizando riscos associados a componentes comprometidos.

Links Úteis para Desenvolvedores e Mantenedores