A comunidade de desenvolvimento de IA sofreu um grande incidente de segurança em 24 de março. O pacote Python LiteLLM, amplamente utilizado para integrar grandes modelos de linguagem (LLMs), na versão 1.82.8, foi comprometido com uma inserção maliciosa. Basta executar

pip install litellm

para que chaves SSH, credenciais AWS/GCP/Azure, configurações Kubernetes, autenticações Git, variáveis de ambiente (todas as chaves API), histórico do shell, carteiras de criptomoedas, chaves SSL, segredos de CI/CD, senhas de banco de dados, entre outros, sejam expostos a servidores remotos de forma única.

Alcance da infecção: qualquer projeto que dependa do LiteLLM está afetado

O LiteLLM tem cerca de 97 milhões de downloads mensais, o que já demonstra sua grande escala. Ainda mais preocupante é que a natureza de ataques na cadeia de suprimentos amplia o impacto muito além dos usuários diretos — qualquer pacote que dependa do LiteLLM também será afetado. Por exemplo,

pip install dspy

(que depende de litellm>=1.64.0) também foi comprometido, assim como outros grandes projetos.

Segundo análise de Andrej Karpathy no X, o lançamento da versão maliciosa durou menos de uma hora. A descoberta rápida foi uma feliz surpresa: o desenvolvedor Callum McMahon utilizou um plugin MCP no Cursor, que introduziu o LiteLLM como dependência transitiva. Ao instalar a versão 1.82.8, o computador ficou sem memória e travou. Se o código do atacante não tivesse bugs, esse ataque poderia ter passado despercebido por semanas.

Conta do CEO do LiteLLM suspeita de invasão, indicando uma operação de ataque maior

Especialistas em segurança apontam que as contas do LiteLLM no GitHub e PyPI parecem ter sido invadidas, e esse não foi um incidente isolado — a mesma operação (TeamPCP) também invadiu extensões do VSCode e Cursor, implantando um cavalo de Troia de acesso remoto chamado “ZOMBI”, além de servidores VNC ocultos e proxies SOCKS. Acredita-se que mais de 500 mil credenciais tenham sido roubadas, afetando várias grandes empresas.

Ação imediata: verificar versões e fazer downgrade

A versão afetada é a 1.82.8. Se essa versão estiver instalada, todas as credenciais devem ser consideradas comprometidas, e a troca deve ser feita imediatamente:

Verificar versão pip show litellm # Fazer downgrade para uma versão segura pip install litellm==1.82.7

Karpathy: é hora de reavaliar a cultura de dependências

Karpathy usa esse incidente para refletir mais profundamente: na engenharia de software tradicional, as dependências são vistas como “blocos de construção” eficientes para construir pirâmides, mas ataques na cadeia de suprimentos tornam essa suposição cada vez mais perigosa. Ele acredita que devemos priorizar o uso de LLMs para “extrair diretamente” (yoink) as funcionalidades necessárias, ao invés de incorporar pacotes externos inteiros — especialmente quando as funcionalidades são simples e viáveis de serem implementadas de forma independente.

Este incidente também alertou a comunidade de desenvolvimento de que, com a automação de tarefas via IA e o uso crescente de comandos como

pip install

, a linha de defesa humana está desaparecendo rapidamente, e firewalls ao nível de pacote passaram de um diferencial para uma necessidade básica.

Este artigo, “LiteLLM PyPI cadeia de suprimentos atacada: pacote de IA com 97 milhões de downloads mensais com malware, vazamento de chaves SSH e credenciais API”, foi originalmente publicado pelo Chain News ABMedia.