Ataque sofisticado compromete biblioteca litellm e expõe milhares de projetos de IA a roubo de credenciais

By /

A comunidade de desenvolvedores de IA entrou em alerta máximo após uma revelação preocupante feita por ninguém menos que Andrej Karpathy. O cientista destacou um ataque altamente sofisticado à cadeia de suprimentos de software — e o alvo foi uma biblioteca Python extremamente popular: litellm.

Ataque sofisticado compromete biblioteca litellm e expõe milhares de projetos de IA a roubo de credenciais

Com mais de 40 mil estrelas no GitHub e quase 100 milhões de downloads mensais, o litellm funciona como uma espécie de “chave universal” para acessar APIs de modelos de IA. Ou seja: quando ele é comprometido, o impacto se espalha rapidamente por todo o ecossistema.

⚠️ Instalar já era o suficiente para ser comprometido

O aspecto mais perigoso desse ataque está na forma como ele é ativado.

Os invasores conseguiram inserir um arquivo malicioso (.pth) nas versões 1.82.7 e 1.82.8 publicadas no PyPI. E o pior:
👉 não é preciso executar nenhum código.

Basta instalar a biblioteca com pip install, e pronto — o código malicioso passa a ser executado automaticamente sempre que o Python é iniciado.

Isso significa que muitos desenvolvedores podem ter sido comprometidos sem sequer perceber.

🔐 Roubo massivo de credenciais

Uma vez ativo, o malware inicia uma varredura completa no sistema em busca de dados sensíveis, incluindo:

  • Chaves SSH
  • Credenciais de cloud (AWS, GCP etc.)
  • Tokens e segredos de Kubernetes
  • Carteiras de criptomoedas
  • Variáveis de ambiente (incluindo API keys de IA)

Todos esses dados são coletados, criptografados e enviados para servidores controlados pelos atacantes.

🤦‍♂️ O erro que expôs o ataque

Curiosamente, o ataque só foi descoberto por causa de uma falha dos próprios hackers.

Um desenvolvedor percebeu que seu computador começou a consumir memória de forma absurda ao usar um plugin no Cursor. A causa?
💥 Um fork bomb — um bug no código malicioso que criava processos em escala exponencial, travando o sistema.

Esse erro acabou sendo o “fio solto” que permitiu aos pesquisadores rastrear e identificar toda a operação.

Segundo Karpathy, se o código fosse mais bem feito, o ataque poderia ter passado despercebido por semanas.

🔗 Efeito dominó no ecossistema de IA

A investigação revelou um cenário ainda mais preocupante:

  1. O grupo atacante (TeamPCP) comprometeu a ferramenta de segurança Trivy
  2. Com isso, conseguiu roubar o token de publicação do litellm
  3. Publicou versões maliciosas diretamente no PyPI, sem revisão adequada

Como consequência, mais de 2.000 ferramentas populares de IA foram potencialmente afetadas, incluindo:

  • DSPy
  • MLflow
  • Open Interpreter

🚨 O que você deve fazer agora

Se você usa litellm, a recomendação é clara e urgente:

  1. Verifique a versão instalada:

    pip show litellm

  2. Se estiver usando qualquer versão acima da 1.82.6:

    • Considere que seus dados podem ter sido comprometidos
    • Revogue e gere novas credenciais imediatamente
    • Atualize para uma versão segura

🧠 Conclusão

Esse incidente mostra como ataques à cadeia de suprimentos estão se tornando cada vez mais sofisticados — e perigosos.

Ferramentas amplamente confiáveis podem virar portas de entrada para ataques em larga escala. Em um ecossistema tão interconectado quanto o de IA, um único ponto comprometido pode afetar milhares de projetos.

👉 Fica o alerta: segurança não é opcional — especialmente quando lidamos com IA, cloud e automação.

Se quiser, posso te ajudar a verificar se seu ambiente foi afetado ou sugerir boas práticas para evitar esse tipo de risco no futuro.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top