{"id":358,"date":"2026-03-24T20:11:59","date_gmt":"2026-03-24T20:11:59","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/teampcp-backdoors-litellm-versiones-1-82-7-1-82-8-probablemente-a-traves-del-compromiso-trivy-ci-cd-cyberdefensa-mx\/"},"modified":"2026-03-24T20:11:59","modified_gmt":"2026-03-24T20:11:59","slug":"teampcp-backdoors-litellm-versiones-1-82-7-1-82-8-probablemente-a-traves-del-compromiso-trivy-ci-cd-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/teampcp-backdoors-litellm-versiones-1-82-7-1-82-8-probablemente-a-traves-del-compromiso-trivy-ci-cd-cyberdefensa-mx\/","title":{"rendered":"TeamPCP Backdoors LiteLLM Versiones 1.82.7\u20131.82.8 Probablemente a trav\u00e9s del compromiso Trivy CI\/CD \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

TeamPCP, el actor de amenazas detr\u00e1s de los recientes compromisos de Trivy y KICS, ahora ha comprometido un popular paquete de Python llamado litelmo<\/a>impulsando dos versiones maliciosas que contienen un recolector de credenciales, un conjunto de herramientas de movimiento lateral de Kubernetes y una puerta trasera persistente.<\/p>\n

M\u00faltiples proveedores de seguridad, incluidos Laboratorios Endor<\/a> y JFrog<\/a>revel\u00f3 que las versiones 1.82.7 y 1.82.8 de Litellm eran publicado<\/a> el 24 de marzo de 2026, probablemente debido a la uso del paquete de Trivy<\/a> en su flujo de trabajo CI\/CD. Desde entonces, ambas versiones con puerta trasera se han eliminado de PyPI.<\/p>\n

\u00abLa carga \u00fatil es un ataque de tres etapas: un recolector de credenciales que barre claves SSH, credenciales de nube, secretos de Kubernetes, billeteras de criptomonedas y archivos .env; un conjunto de herramientas de movimiento lateral de Kubernetes que implementa pods privilegiados en cada nodo; y una puerta trasera persistente systemd (sysmon.service) que sondea ‘checkmarx[.]zona\/sin procesar’ para binarios adicionales\u00bb, dijo el investigador de Endor Labs, Kiran Raj.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Como se observ\u00f3 en casos anteriores, los datos recopilados se extraen como un archivo cifrado (\u00abtpcp.tar.gz\u00bb) a un dominio de comando y control llamado \u00abmodels.litellm\u00bb.[.]nube\u00bb a trav\u00e9s de una solicitud HTTPS POST.<\/p>\n

En el caso de 1.82.7, el c\u00f3digo malicioso est\u00e1 incrustado en el archivo \u00ablitellm\/proxy\/proxy_server.py\u00bb, y la inyecci\u00f3n se realiza durante o despu\u00e9s del proceso de creaci\u00f3n de la rueda. El c\u00f3digo est\u00e1 dise\u00f1ado para ejecutarse en el momento de la importaci\u00f3n del m\u00f3dulo, de modo que cualquier proceso que importe \u00ablitellm.proxy.proxy_server\u00bb active la carga \u00fatil sin requerir ninguna interacci\u00f3n del usuario.<\/p>\n

La siguiente iteraci\u00f3n del paquete agrega un \u00abvector m\u00e1s agresivo\u00bb al incorporar un \u00ablitellm_init.pth\u00bb malicioso en la ra\u00edz de la rueda, lo que hace que la l\u00f3gica se ejecute autom\u00e1ticamente en cada inicio de proceso Python en el entorno, no solo cuando se importa litellm.<\/p>\n

Otro aspecto que hace que 1.82.8 sea m\u00e1s peligroso es el hecho de que el iniciador .pth genera un proceso secundario de Python a trav\u00e9s de subproceso.Popen<\/a>que permite que la carga \u00fatil se ejecute en segundo plano.<\/p>\n

\u00abLos archivos Python .pth colocados en los paquetes del sitio son procesados \u200b\u200bautom\u00e1ticamente por site.py al iniciar el int\u00e9rprete\u00bb, dijo Endor Labs. \u00abEl archivo contiene una sola l\u00ednea que importa un subproceso e inicia un proceso Python independiente para decodificar y ejecutar la misma carga \u00fatil Base64\u00bb.<\/p>\n

La carga \u00fatil se decodifica en un orquestador que descomprime un recolector de credenciales y un cuentagotas de persistencia. El recolector tambi\u00e9n aprovecha el token de la cuenta de servicio de Kubernetes (si est\u00e1 presente) para enumerar todos los nodos del cl\u00faster e implementar un pod privilegiado en cada uno de ellos. La vaina entonces chroots<\/a> en el sistema de archivos del host e instala el cuentagotas de persistencia como un servicio de usuario systemd en cada nodo.<\/p>\n

El servicio systemd est\u00e1 configurado para iniciar un script de Python (\u00ab~\/.config\/sysmon\/sysmon.py\u00bb), el mismo nombre utilizado en el compromiso Trivy, que llega a \u00abcheckmarx[.]zona\/raw\u00bb cada 50 minutos para obtener una URL que apunte a la carga \u00fatil de la siguiente etapa. Si la URL contiene youtube[.]com, el script aborta la ejecuci\u00f3n, un patr\u00f3n de interrupci\u00f3n com\u00fan a todos los incidentes observados hasta ahora.<\/p>\n

\u00abEs casi seguro que esta campa\u00f1a no ha terminado\u00bb, dijo Endor Labs. \u00abTeamPCP ha demostrado un patr\u00f3n consistente: cada entorno comprometido genera credenciales que desbloquean el siguiente objetivo. El giro de CI\/CD (ejecutores de GitHub Actions) a producci\u00f3n (paquetes PyPI que se ejecutan en cl\u00fasteres de Kubernetes) es una escalada deliberada\u00bb.<\/p>\n

Con el \u00faltimo desarrollo, TeamPCP ha emprendido una incesante campa\u00f1a de ataque a la cadena de suministro que ha generado cinco ecosistemas, incluidos GitHub Actions, Docker Hub, npm, Open VSX y PyPI, para expandir su huella de objetivos y poner cada vez m\u00e1s sistemas bajo su control.<\/p>\n

\"\"<\/a><\/div>\n

\u00abTeamPCP est\u00e1 intensificando una campa\u00f1a coordinada dirigida a herramientas de seguridad e infraestructura de desarrollo de c\u00f3digo abierto, y ahora se est\u00e1 atribuyendo abiertamente el m\u00e9rito de m\u00faltiples ataques posteriores en todos los ecosistemas\u00bb, Socket dicho<\/a>. \u00abEsta es una operaci\u00f3n sostenida que apunta a puntos de alto apalancamiento en la cadena de suministro de software\u00bb.<\/p>\n

en un mensaje al corriente<\/a> En su canal de Telegram, TeamPCP dijo: \u00abEstas empresas fueron creadas para proteger sus cadenas de suministro, pero ni siquiera pueden proteger las suyas propias, el estado de la investigaci\u00f3n de seguridad moderna es una broma, como resultado, estaremos por mucho tiempo robando terrabytes\u00bb. [sic] de secretos comerciales con nuestros nuevos socios\u00bb.<\/p>\n

\u00abEl efecto bola de nieve de esto ser\u00e1 enorme, ya nos estamos asociando con otros equipos para perpetuar el caos, muchas de sus herramientas de seguridad favoritas y proyectos de c\u00f3digo abierto ser\u00e1n atacados en los pr\u00f3ximos meses, as\u00ed que est\u00e9n atentos\u00bb, dijo el actor de amenazas. agregado<\/a>.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se recomienda a los usuarios que realicen las siguientes acciones para contener la amenaza:<\/p>\n