LiteLLM ataque de envenenamento: 500 mil credenciais vazadas, carteiras de criptomoeda podem ser roubadas, como verificar se foi afetado?

Autor: HIBIKI, Cidade Cripto

LiteLLM sofre ataque à cadeia de suprimentos, centenas de GB de dados e 500 mil credenciais vazadas
O pacote de código aberto de IA LiteLLM, que tem até 3,4 milhões de downloads diários, é uma ponte importante para muitos desenvolvedores conectarem múltiplos modelos de linguagem grandes (LLM), mas recentemente se tornou alvo de hackers. A Kaspersky estima que este ataque expôs mais de 20 mil repositórios de código a riscos, e os hackers afirmaram ter roubado centenas de GB de dados confidenciais e mais de 500 mil credenciais de contas, causando um impacto severo no desenvolvimento de software global e no ambiente de nuvem.
Após investigação por especialistas em segurança, foi descoberto que a origem do incidente do hacker LiteLLM foi uma ferramenta de segurança de código aberto chamada Trivy, usada por muitas empresas para escanear vulnerabilidades de sistema.
Este é um ataque típico de cadeia de suprimentos (Supply Chain Attack), onde os hackers atacam ferramentas de confiança upstream das dependências do alvo, introduzindo furtivamente código malicioso, como envenenar a fonte de água de uma estação de tratamento, fazendo com que todos os consumidores sejam afetados sem perceber.

Fonte da imagem: Trivy ｜ A origem do incidente do hacker LiteLLM é uma ferramenta de segurança de código aberto usada por muitas empresas para escanear vulnerabilidades de sistema chamada Trivy.

Fluxo total do incidente de ataque ao LiteLLM: de ferramentas de segurança a explosões em cascata do pacote de IA
De acordo com análises da empresa de segurança Snyk e da Kaspersky, o incidente de ataque ao LiteLLM começou a se desenrolar no final de fevereiro de 2026.
Os hackers exploraram uma vulnerabilidade no CI/CD do GitHub (um processo automatizado de teste e lançamento de software) para roubar as credenciais de acesso (Token) dos mantenedores do Trivy. Como as credenciais não foram completamente revogadas, os hackers conseguiram em 19 de março alterar com sucesso a tag de lançamento do Trivy, fazendo com que o processo automatizado baixasse uma ferramenta de escaneamento contendo código malicioso.
Em seguida, os hackers utilizaram a mesma técnica e, em 24 de março, controlaram as permissões de lançamento do LiteLLM, fazendo upload das versões 1.82.7 e 1.82.8 que continham código malicioso.
Nesse momento, o desenvolvedor Callum McMahon, ao testar a extensão do editor Cursor, teve seu sistema automaticamente baixando a versão mais recente do LiteLLM, levando seu computador a esgotar rapidamente os recursos.
Após usar o assistente de IA Debug, ele descobriu que havia um defeito no código malicioso que acidentalmente ativou uma bomba de bifurcação (Fork Bomb), que é uma ação maliciosa que se replica continuamente e esgota a memória e os recursos computacionais do computador, expondo assim este ataque oculto.
De acordo com a análise da Snyk, o código malicioso deste ataque é dividido em três fases:

• Coleta de dados: O programa escaneia completamente o computador da vítima em busca de informações sensíveis, incluindo chaves de acesso SSH, credenciais de acesso a serviços em nuvem (AWS, GCP) e códigos-semente de carteiras de criptomoedas como Bitcoin e Ethereum.
• Criptografia e vazamento: Os dados coletados são criptografados e embalados, sendo enviados furtivamente para um domínio falso previamente registrado pelos hackers.
• Persistência e movimento lateral: O código malicioso instala um backdoor no sistema e, se detectar Kubernetes, uma plataforma de código aberto para automação de implantação e gerenciamento de aplicativos em contêineres, tentará espalhar o código malicioso para todos os nós do cluster.

Linha do tempo do ataque à cadeia de suprimentos do LiteLLM e Trivy

Seu wallet e credenciais estão seguros? Guia de detecção e remediação
Se você instalou ou atualizou o pacote LiteLLM após 24 de março de 2026, ou se seu ambiente de desenvolvimento automatizado utilizou a ferramenta de escaneamento Trivy, seu sistema provavelmente já foi comprometido.
De acordo com as recomendações de Callum McMahon e Snyk, a prioridade de proteção e remediação é confirmar a extensão da violação e interromper completamente o backdoor dos hackers.

A Kaspersky recomenda que, para aumentar a segurança do GitHub Actions, você pode usar as seguintes ferramentas de código aberto:

• zizmor: Esta é uma ferramenta para análise estática e detecção de erros de configuração do GitHub Actions.
• gato e Gato-X: Estas duas versões da ferramenta são usadas principalmente para ajudar a identificar pipelines de automação que contêm vulnerabilidades estruturais.
• allstar: Um aplicativo do GitHub desenvolvido pela Open Source Security Foundation (OpenSSF), projetado para configurar e impor políticas de segurança em organizações e repositórios do GitHub.

Por trás do ataque ao LiteLLM, hackers já estão de olho na febre dos lobster farming
De acordo com análises da Snyk e do engenheiro Huli, que se concentra na área de segurança, os responsáveis por este caso são um grupo de hackers chamado TeamPCP, que começou a operar em dezembro de 2025 e frequentemente estabeleceu canais de atividade através de softwares de comunicação como o Telegram.
Huli apontou que, durante o processo de ataque, os hackers usaram um componente de ataque automatizado chamado hackerbot-claw. Este nome astuciosamente se alinha à recente popularidade dos agentes de IA de lobster farming (OpenClaw) no círculo de IA.
Esse grupo de hackers atacou precisamente ferramentas de infraestrutura de alta permissão e amplamente utilizadas, incluindo Trivy e LiteLLM, e soube aproveitar as últimas tendências de IA para expandir a escala do ataque, demonstrando métodos de crime altamente organizados e direcionados.

Fonte da imagem: Huli Casual Talk ｜ O engenheiro Huli, que se concentra na área de segurança, explica o incidente do ataque à cadeia de suprimentos do Trivy e LiteLLM (captura de tela parcial)

Com a popularização das ferramentas de IA, o controle de permissões e a segurança da cadeia de suprimentos nos processos de desenvolvimento tornaram-se riscos que todas as empresas não podem ignorar.
Casos como o recente ataque a contas NPM de desenvolvedores conhecidos, que resultou na infiltração de código malicioso em pacotes JavaScript, colocando a maioria das DApps e wallets em risco; ou a revelação pela Anthropic de hackers chineses que lançaram a primeira grande ação de espionagem da rede automatizada de IA através do Claude Code, devem servir como um alerta.