El grupo TeamPCP compromete el paquete Python ‘litellm’ para desplegar malware y herramientas de movimiento lateral en Kubernetes

Introducción

El ecosistema del software de código abierto vuelve a estar en el punto de mira tras el reciente compromiso de ‘litellm’, un popular paquete Python empleado para la integración de modelos de lenguaje en aplicaciones empresariales. El actor de amenazas conocido como TeamPCP, responsable también de los incidentes en Trivy y KICS, ha distribuido dos versiones maliciosas de este paquete, desplegando un arsenal que incluye un recolector de credenciales, un kit de movimiento lateral en entornos Kubernetes y una puerta trasera persistente. Este ataque pone de manifiesto los riesgos inherentes a la cadena de suministro de software y la necesidad de controles más rigurosos en la gestión de dependencias.

Contexto del Incidente

El paquete comprometido, ‘litellm’, es ampliamente utilizado por desarrolladores y equipos DevOps para facilitar la comunicación con APIs de modelos de lenguaje, automatizando tareas en productos y servicios SaaS. Según informes de Endor Labs y JFrog, las versiones 1.82.7 y 1.82.8, publicadas entre el 5 y el 6 de junio en PyPI, contenían cargas maliciosas. La rápida propagación de estas versiones afectadas se vio favorecida por la popularidad del paquete, que cuenta con más de 80.000 descargas mensuales, multiplicando el vector de ataque.

Detalles Técnicos

Las versiones maliciosas de ‘litellm’ incluían un script de instalación modificado que, al ser ejecutado, activaba varios componentes de malware:

– **Recolector de credenciales:** El código malicioso localizaba y exfiltraba archivos de credenciales sensibles, como tokens API, claves SSH y variables de entorno críticas, enviándolas a un servidor C2 controlado por TeamPCP.
– **Kit de movimiento lateral Kubernetes:** Aprovechando permisos excesivos en pods Kubernetes, se desplegaban scripts para enumerar, obtener credenciales y pivotar lateralmente entre contenedores y namespaces, siguiendo técnicas alineadas con los TTPs MITRE ATT&CK T1526 (Cloud Service Discovery) y T1550 (Use Alternate Authentication Material).
– **Backdoor persistente:** El malware instalaba un servicio residente que permitía la ejecución remota de comandos arbitrarios, asegurando la persistencia incluso tras reinicios del sistema.

Los identificadores de compromiso (IoCs) asociados incluyen hashes SHA256 de los paquetes maliciosos y dominios C2 concretos, compartidos por los dispositivos de seguimiento de amenazas. No se ha publicado aún un CVE oficial, pero el incidente se asocia al abuso de integridad en la cadena de suministro de software (MITRE ATT&CK T1195).

Impacto y Riesgos

El alcance del incidente es significativo: según JFrog, las versiones maliciosas de ‘litellm’ fueron descargadas al menos 1.800 veces antes de su retirada de PyPI. Entre las víctimas potenciales se identifican empresas del sector financiero, sanitario y tecnológico, así como universidades, dado el amplio espectro de usuarios de Python. Los riesgos principales incluyen:

– Compromiso de infraestructura cloud, especialmente en despliegues Kubernetes.
– Robo de secretos y credenciales, facilitando ataques posteriores o ransomware.
– Violaciones de privacidad y cumplimiento normativo (GDPR, NIS2), con posibles sanciones económicas superiores a 20 millones de euros.

Medidas de Mitigación y Recomendaciones

Para los equipos de ciberseguridad y DevSecOps, se recomienda:

1. **Auditar instalaciones:** Identificar y eliminar las versiones 1.82.7 y 1.82.8 de ‘litellm’ en todos los entornos.
2. **Rotar credenciales:** Cambiar inmediatamente todas las claves y secretos que hayan podido ser accesibles desde sistemas afectados.
3. **Monitorizar logs y tráfico:** Revisar logs de acceso y monitorizar conexiones salientes hacia los dominios C2 identificados.
4. **Implementar control de dependencias:** Usar herramientas como pip-audit, Snyk o JFrog Xray para validar la integridad de paquetes antes de su despliegue.
5. **Reforzar políticas de mínima privilegio** en Kubernetes y restringir el uso de cuentas de servicio privilegiadas.

Opinión de Expertos

Juan Martínez, analista senior de amenazas en una gran consultora española, señala: “Este incidente evidencia la sofisticación creciente de los ataques a la cadena de suministro. Los adversarios explotan la confianza en repositorios públicos para introducir puertas traseras que pueden pasar inadvertidas durante días o semanas, con un impacto devastador.” Desde JFrog, añaden que se observa una tendencia ascendente en el uso de herramientas automatizadas para detectar y explotar proyectos populares con mantenedores poco activos o con malas prácticas de seguridad.

Implicaciones para Empresas y Usuarios

El compromiso de ‘litellm’ no solo afecta a desarrolladores, sino que expone la superficie de ataque de organizaciones enteras. La rápida adopción de paquetes de código abierto sin auditoría previa incrementa el riesgo de ataques a la cadena de suministro. Para las empresas sujetas a GDPR o NIS2, la fuga de datos personales o de clientes puede acarrear investigaciones regulatorias, multas millonarias y daños reputacionales irreparables. Los administradores de sistemas y equipos SOC deben priorizar la monitorización de integridad y la respuesta ante incidentes relacionados con dependencias de terceros.

Conclusiones

El incidente de ‘litellm’ subraya la urgencia de reforzar los controles de seguridad en el ciclo de vida del software, especialmente en proyectos de código abierto. La vigilancia continua, la formación de los equipos de desarrollo y la adopción de herramientas de análisis de dependencias son ya requisitos imprescindibles para mitigar riesgos y evitar compromisos a gran escala. La colaboración entre la comunidad, proveedores de seguridad y organismos reguladores será clave para frenar la creciente ola de ataques a la cadena de suministro.

(Fuente: feeds.feedburner.com)