Alerta: TeamPCP Infiltra LiteLLM con Backdoors en Nuevas Versiones
Publicado el
Introducción
Recientemente, el grupo de amenazas TeamPCP ha llevado a cabo un ataque que compromete las versiones 1.82.7 y 1.82.8 del popular paquete Python LiteLLM. Este ataque se ha vinculado al uso de Trivy en el flujo de trabajo de CI/CD, lo que ha permitido la introducción de backdoors y otras herramientas maliciosas.
Detalles del Ataque
Según las investigaciones de Endor Labs y JFrog, las versiones comprometidas fueron publicadas el 24 de marzo de 2026. Ambas versiones contenían un recolector de credenciales, un conjunto de herramientas para movimiento lateral en Kubernetes y un backdoor persistente. El ataque se desarrolla en tres etapas: 1. Recolección de Credenciales: Se barre información sensible como claves SSH, credenciales de la nube y secretos de Kubernetes. 2. Movimiento Lateral en Kubernetes: Se despliega un pod privilegiado en cada nodo del clúster. 3. Backdoor Persistente: Se utiliza un servicio de systemd que contacta un dominio de control remoto para obtener binarios adicionales.
El investigador Kiran Raj de Endor Labs indicó que el código malicioso está incrustado en el archivo `litellm/proxy/proxy_server.py`, permitiendo su ejecución sin interacción del usuario. La versión 1.82.8 introduce un vector de ataque más agresivo mediante un archivo .pth que se ejecuta automáticamente en cada inicio de proceso Python.
Mecanismo de Exfiltración
La información recolectada se exfiltra como un archivo tpcp.tar.gz hacia el dominio models.litellm[.]cloud mediante una solicitud POST HTTPS. El uso de archivos .pth en site-packages permite que el código malicioso se procese automáticamente al inicio del intérprete.
Implicaciones y Recomendaciones
El impacto de este ataque es considerable, dado que TeamPCP ha demostrado una capacidad de escalar sus operaciones, apuntando a múltiples ecosistemas como GitHub Actions, Docker Hub, npm, Open VSX y PyPI. La campaña actual representa un ataque sostenido a la cadena de suministro de software, lo que obliga a los usuarios a estar en alerta.
Se recomienda a los usuarios realizar las siguientes acciones para contener la amenaza: - Auditar todos los entornos en busca de las versiones 1.82.7 y 1.82.8 de LiteLLM y revertir a una versión limpia. - Aislar los hosts afectados. - Verificar la presencia de pods no autorizados en clústeres de Kubernetes. - Revisar los registros de red en busca de tráfico hacia models.litellm[.]cloud y checkmarx[.]zone. - Eliminar los mecanismos de persistencia. - Auditar las tuberías de CI/CD para detectar el uso de herramientas como Trivy y KICS durante las ventanas de compromiso. - Revocar y rotar todas las credenciales expuestas.
Conclusiones
Esta situación resalta la vulnerabilidad de la cadena de suministro de software y la importancia de implementar medidas de seguridad robustas. Gal Nagli, de Wiz, advirtió: "La cadena de suministro de código abierto se está desmoronando". El ataque de TeamPCP es un recordatorio de que siempre hay que estar alerta ante posibles brechas de seguridad.