Um ataque cibernético massivo acaba de atingir o mundo da inteligência artificial. De fato, os hackers conseguiram comprometer um componente de software usado por muitos desenvolvedores. O hack causou uma reação em cadeia que resultou em um enorme roubo de dados.
LiteLLMuma das bibliotecas Python mais utilizadas no ecossistema de IA generativa, acaba de sofrer um ataque. A biblioteca, que conta com mais de 40 mil estrelas no GitHub, oferece uma interface unificada que permite interagir com grandes modelos de linguagem, como os da OpenAI, Google e Anthropic. Para desenvolvedores, usar LiteLLM permite que você conecte-se a uma ampla variedade de modelos de IA. É por isso que a biblioteca, desenvolvida pela BerriAI em 2023, rapidamente se tornou popular entre os desenvolvedores.
É também por isso que ela se viu na mira dos cibercriminosos. Final de março de 2026, TeamPCP, uma gangue dos cibercriminosos especializada em ataques à cadeia de suprimentos, conseguiu comprometer a biblioteca LiteLLM. Para atingir seus objetivos, os hackers lançaram um ataque contra uma ferramenta que nada tinha a ver com a biblioteca. Explicamos como o ataque cibernético se desenrolou.
Horror de software: ataque literal à cadeia de suprimentos PyPI.
O simples `pip install litellm` foi suficiente para exfiltrar chaves SSH, credenciais AWS/GCP/Azure, configurações do Kubernetes, credenciais git, env vars (todas as suas chaves API), histórico de shell, carteiras criptográficas, chaves privadas SSL, segredos CI/CD, banco de dados… https://t.co/aKjZJcECFq
– Andrej Karpathy (@karpathy) 24 de março de 2026
Leia também: “Tive que correr para o meu Mac mini” – Meta especialista perdeu o controle de sua IA
Um ataque cibernético em cadeia
Primeiro, o TeamPCP abordou para o scanner de vulnerabilidade Curiosidades sobre segurança do Aqua. Esta ferramenta gratuita, que permite verificar a segurança das linhas de código, é amplamente utilizada por desenvolvedores… inclusive pela equipe LiteLLM para testar suas atualizações. Hackers comprometeram com sucesso a conta do Github de Trivy. Eles então publicaram uma versão oficial falsa do Trivy. Esta versão corrompida escondia um vírus capaz de roubar dados.
Depois de instalada, a versão falsa da ferramenta roubou silenciosamente as senhas das pessoas que a utilizaram, inclusive da equipe LiteLLM. Com essas senhas roubadas, os hackers conseguiram acessar os computadores da equipe e também os servidores responsáveis pelas atualizações. Em 24 de março de 2026, os cibercriminosos colocaram malware em duas atualizações de biblioteca. Sem perceber, LiteLLM implanta duas atualizações maliciosas no PyPI, o repositório oficial e centralizado de pacotes de software para a linguagem de programação Python.
Assim, os usuários do LiteLLM instalam malware em seus dispositivos. Uma vez chegado ao seu destino, o vírus irá procurar na máquina por aspirar todos os dados que ele pode. Em particular, ele irá capturar senhas e tokens, arquivos de configuração, tokens, históricos, AWS, Google Cloud, chaves Azure e até arquivos relacionados a carteiras criptografadas. Os dados roubados são criptografados, compactados e transferidos para um domínio de propriedade dos hackers.
O vírus não vai parar por aí. Para garantir que permaneça permanentemente instalado nas máquinas infectadas, o malware TeamPCP instalará um backdoor. Este backdoor é iniciado automaticamente sempre que a máquina é iniciada, reinicia automaticamente mesmo que o usuário feche o processo e é executado em segundo plano, sem nenhuma janela ou mensagem visível. Então, o vírus não ficará em uma única máquina. O malware se espalhará para outras máquinas e outros servidores da empresa.
Leia também: Este popular aplicativo de IA expôs as conversas de 25 milhões de usuários na Internet
Um ataque descoberto por acaso
Logo após a infecção, o ataque cibernético foi descoberto por acaso por um desenvolvedor da empresa FutureSearch. Ele estava digitando código no Cursor, um editor que depende principalmente de IA. Nos bastidores, o editor instala automaticamente pequenos blocos de software, incluindo LiteLLM. Assim que a biblioteca é instalada, o desenvolvedor percebe que algo está errado. Seu computador começa a ficar muito lento e rapidamente fica inutilizável.
Investigando os processos em execução na máquina, ele descobre que algo estranho foi encontrado na versão recente do LiteLLM 1.82.8. O desenvolvedor então soou o alarme. Os pesquisadores do FutureSearch começam a investigar e gradualmente descobrem como um vírus que rouba dados conseguiu entrar na biblioteca.
Assim que o alerta foi dado, as versões capturadas 1.82.7 e 1.82.8 foram removidas e colocadas em quarentena no PyPI. A equipa LiteLLM comunicou rapidamente, pedindo aos utilizadores que regressassem à versão anterior, nomeadamente 1.82.6, enquanto corrigia a situação e protegia os seus sistemas. Os pesquisadores do FutureSearch acreditam que todos os dados que entraram em contato com uma máquina que instalou as versões maliciosas do LiteLLM estão comprometidos.
“Se você instalou ou executou o Litellm v1.82.7 ou v1.82.8, trate todas as credenciais presentes nos sistemas afetados como comprometidas”concorda com LiteLLM.
Uma cadeia de abastecimento demasiado frágil
O ataque ao LiteLLM ilustra claramente os perigos que pesam sobre a cadeia de abastecimento. Neste caso, foi suficiente hackear uma única conta para contaminar uma grande parte do ecossistema. Essa reação em cadeia afetou até mesmo desenvolvedores que nunca escolheram o LiteLLM. Muitas ferramentas de IA, como agentes ou plugins, são baseadas no LiteLLM, uma ferramenta administrada por uma pequena equipe de desenvolvedores. Adotada pela Netflix, Stripe ou Google, a ferramenta é utilizada por milhões de desenvolvedores. Ele é baixado até 3,4 milhões de vezes por dia. É por isso que a atual cadeia de abastecimento de software pode ser considerada particularmente frágil.
A cadeia de abastecimento de código aberto está em colapso por si só.
Trivy é comprometido → LiteLLM é comprometido → credenciais de dezenas de milhares de ambientes acabam nas mãos do invasor → e essas credenciais levam ao próximo comprometimento.
Estamos presos em um loop. https://t.co/3GHrnApvWs
-Nagli (@galnagli) 24 de março de 2026
Para Gal Nagli, especialista em ameaças informáticas da Wiz, “a cadeia de fornecimento de código aberto está em colapso”. Outro pesquisador do Wiz, Ben Read, aponta que “ferramentas como LiteLLM estão presentes em mais de um terço dos ambientes de nuvem”o que contribui para enfraquecer todo o ecossistema. Por sua vez, os pesquisadores do Endor Labs acreditam que os hackers do TeamPCP voltarão ao ataque e que “esta campanha quase certamente não acabou”.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
As notícias dos hackers