Etiquetas

Backdoors en LiteLLM exponen fragilidad del ecosistema de IA ante ataques a la cadena de suministro






Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.

Una operación cibernética atribuida al grupo TeamPCP ha encendido las alertas en la comunidad tecnológica tras comprometer la cadena de suministro de software y distribuir versiones alteradas de LiteLLM, una de las bibliotecas más utilizadas para gestionar modelos de inteligencia artificial. El incidente se enmarca en una campaña más amplia que, en pocos días, logró impactar diversas herramientas clave del entorno de desarrollo — incluyendo soluciones de seguridad y plataformas de análisis de código — mediante el uso de credenciales robadas, lo que evidencia una estrategia de propagación entre proyectos interdependientes.

La intrusión derivó en la publicación de versiones manipuladas (1.82.7 y 1.82.8) en PyPI, el repositorio oficial de paquetes de Python. A diferencia de ataques que se basan en software falso, en este caso los actores lograron infiltrarse en el proyecto legítimo, presuntamente explotando una vulnerabilidad previa en Trivy dentro del flujo de integración y entrega continua, lo que les permitió insertar código malicioso directamente en la distribución oficial sin levantar sospechas iniciales.


El código malicioso ejecutaba una ofensiva escalonada: comenzaba con la recolección de información sensible — como claves SSH, credenciales en la nube, secretos de Kubernetes y archivos de configuración — , continuaba con capacidades de desplazamiento lateral para comprometer entornos completos mediante la creación de contenedores privilegiados, y concluía con mecanismos de persistencia que garantizaban el acceso prolongado a los sistemas afectados.

La unidad de investigación de SILIKN destaca como particularmente crítico el método de activación del malware, capaz de ejecutarse automáticamente al importar la librería comprometida e incluso al iniciar procesos de Python en el sistema, gracias a componentes diseñados para operar de forma encubierta en segundo plano. Esta característica amplifica el alcance del ataque, facilita su propagación sin intervención del usuario y complica su detección.

La unidad de investigación de SILIKN advierte que este episodio no constituye un hecho aislado, sino parte de una ofensiva coordinada que explota la confianza depositada en herramientas ampliamente adoptadas para penetrar infraestructuras críticas. Al comprometer distintos puntos del ciclo de desarrollo — desde utilidades de seguridad hasta librerías de IA — , los atacantes lograron escalar su operación y maximizar su impacto.

El caso ilustra además una evolución en las tácticas del cibercrimen: en lugar de dirigirse a objetivos individuales, los atacantes priorizan componentes compartidos que funcionan como eslabones críticos dentro del ecosistema digital. Dado que LiteLLM está integrada en miles de aplicaciones, este tipo de incidentes puede derivar en filtraciones masivas de credenciales y en el control de entornos completos, reforzando la urgencia de implementar medidas de seguridad más estrictas a lo largo de todo el ciclo de desarrollo de software.

Para más información, visite: https://www.silikn.net/

Etiquetas: