Una línea de pip install roba todas las claves: Karpathy llama al envenenamiento de LiteLLM "lo más aterrador del mundo del software"

Según la monitorización de 1M AI News, el cofundador de OpenAI, Andrej Karpathy, publicó que el ataque a la cadena de suministro del herramienta de desarrollo de agentes de IA LiteLLM es “prácticamente lo más aterrador en el software moderno”. LiteLLM tiene 97 millones de descargas mensuales, y las versiones infectadas v1.82.7 y v1.82.8 han sido retiradas de PyPI.

Con solo un comando pip install litellm, se pueden robar claves SSH, credenciales de la nube AWS/GCP/Azure, configuraciones de Kubernetes, credenciales de git, variables de entorno (incluyendo todas las claves API), historial de shell, billeteras cifradas, claves SSL, claves de CI/CD y contraseñas de bases de datos. El código malicioso empaqueta los datos cifrados con RSA de 4096 bits y los transfiere a un dominio disfrazado, models.litellm.cloud, además de intentar crear contenedores privilegiados en el namespace kube-system del clúster de Kubernetes para implantar puertas traseras permanentes.

Lo más peligroso es su capacidad de propagación: cualquier proyecto que dependa de LiteLLM también se infectará, por ejemplo, pip install dspy (que depende de litellm>=1.64.0) también activará el código malicioso. La versión infectada solo estuvo en PyPI aproximadamente una hora antes de ser detectada, y la ironía es que el propio atacante cometió un bug en su código malicioso, lo que provocó un agotamiento de memoria y un fallo. El desarrollador Callum McMahon, al usar un plugin MCP en la herramienta de programación AI Cursor, vio cómo LiteLLM, como dependencia transitiva, se instalaba y causaba un bloqueo en su máquina, exponiendo así el ataque. Karpathy comentó: “Si los atacantes no tienen vibe code, este ataque puede pasar desapercibido durante días o incluso semanas.”

El grupo de ataque TeamPCP aprovechó a finales de febrero una vulnerabilidad en Trivy en la canalización CI/CD de LiteLLM en GitHub Actions para infiltrarse, robar el token de publicación de PyPI y luego subir versiones maliciosas directamente a PyPI saltándose GitHub. El CEO de Berri AI, Krrish Dholakia, afirmó que eliminó todos los tokens de publicación y planea adoptar un mecanismo de publicación confiable basado en JWT. PyPA emitió el aviso de seguridad PYSEC-2026-2, recomendando a todos los usuarios que hayan instalado versiones afectadas que asuman que todas sus credenciales han sido comprometidas y que las roten de inmediato.