LiteLLM hack incident: 500,000 credentials leaked, crypto wallets at risk of theft, how to check if you've been compromised?

Autor: HIBIKI, Ciudad Cripto

LiteLLM sufre un ataque a la cadena de suministro, filtrando cientos de GB de datos y 500,000 credenciales
Con hasta 3.4 millones de descargas diarias, el paquete de código abierto de IA LiteLLM es un importante puente para que muchos desarrolladores conecten múltiples modelos de lenguaje (LLM), pero recientemente se ha convertido en un objetivo para los hackers. Kaspersky estima que este ataque ha expuesto más de 20,000 repositorios de código al riesgo, y los hackers afirman haber robado cientos de GB de datos confidenciales y más de 500,000 credenciales de cuentas, causando un impacto severo en el desarrollo de software y en los entornos de nube a nivel global.
Tras una investigación de expertos en ciberseguridad, se descubrió que el origen del incidente de LiteLLM es una herramienta de seguridad de código abierto llamada Trivy, que muchas empresas utilizan para escanear vulnerabilidades del sistema.
Este es un típico ataque a la cadena de suministro, donde los hackers atacan herramientas de confianza de las que depende el objetivo, infiltrando silenciosamente código malicioso, como si estuvieran envenenando la fuente de agua de una planta de tratamiento, haciendo que todos los consumidores caigan en la trampa sin darse cuenta.

Fuente de la imagen: Trivy ｜ El origen del incidente de hackeo de LiteLLM es una herramienta de seguridad de código abierto utilizada por muchas empresas para escanear vulnerabilidades del sistema: Trivy.

Flujo completo del ataque a LiteLLM: de la herramienta de seguridad a la explosión en el paquete de IA
Según un análisis de las empresas de ciberseguridad Snyk y Kaspersky, los antecedentes del ataque a LiteLLM se remontan a finales de febrero de 2026.
Los hackers aprovecharon una vulnerabilidad en el CI/CD de GitHub (un proceso automatizado de pruebas y lanzamiento de software) para robar el token de acceso de los mantenedores de Trivy. Dado que el token no fue revocado completamente, los hackers lograron modificar las etiquetas de lanzamiento de Trivy el 19 de marzo, permitiendo que el proceso automatizado descargara una herramienta de escaneo que contenía código malicioso.
Luego, los hackers utilizaron el mismo método para tomar el control de los permisos de lanzamiento de LiteLLM el 24 de marzo, y subieron las versiones 1.82.7 y 1.82.8 que contenían código malicioso.
En ese momento, el desarrollador Callum McMahon, al probar una extensión del editor Cursor, se dio cuenta de que su sistema descargó automáticamente la última versión de LiteLLM, lo que llevó a que los recursos de su computadora se agotaran de inmediato.
Después de depurar con la ayuda de una IA, descubrió que el código malicioso contenía un defecto que accidentalmente activó una bomba de bifurcación (Fork Bomb), un comportamiento malicioso que se replica continuamente y agota la memoria y los recursos de procesamiento de la computadora, lo que permitió que este ataque encubierto se expusiera antes de lo previsto.
Según el análisis de Snyk, el código malicioso en este ataque se divide en tres etapas:

• Recolección de datos: El programa escanea exhaustivamente la computadora víctima en busca de información sensible, incluyendo claves de acceso SSH, credenciales de servicios en la nube (AWS, GCP) y semillas de billeteras de criptomonedas como Bitcoin y Ethereum.
• Cifrado y filtración: Los datos recolectados son cifrados y empaquetados, y se envían en secreto a un dominio falso previamente registrado por los hackers.
• Persistencia y movimiento lateral: El código malicioso instala puertas traseras en el sistema; si detecta Kubernetes, un entorno de plataforma de código abierto para la automatización de despliegue y gestión de aplicaciones en contenedores, también intenta propagar el malware a todos los nodos del clúster.

Línea de tiempo del ataque a la cadena de suministro de LiteLLM y Trivy

¿Está segura tu billetera y tus credenciales? Guía de detección y medidas de remediación
Si has instalado o actualizado el paquete LiteLLM después del 24 de marzo de 2026, o si tu entorno de desarrollo automatizado ha utilizado la herramienta de escaneo Trivy, es muy probable que tu sistema ya haya sido comprometido.
Según Callum McMahon y Snyk, la prioridad en la protección y remediación es confirmar el alcance de la violación y cerrar completamente la puerta trasera de los hackers.

Kaspersky recomienda que, para mejorar la seguridad de GitHub Actions, se pueden utilizar las siguientes herramientas de código abierto:

• zizmor: Esta es una herramienta para análisis estático y detección de errores en la configuración de GitHub Actions.
• gato y Gato-X: Estas dos versiones de la herramienta están diseñadas para ayudar a identificar procesos automatizados (pipelines) que presentan vulnerabilidades estructurales.
• allstar: Una aplicación de GitHub desarrollada por la OpenSSF, que se usa para establecer y hacer cumplir políticas de seguridad en organizaciones y repositorios de GitHub.

Detrás del ataque a LiteLLM, los hackers ya estaban atentos a la tendencia de criar langostas
Según el análisis de Snyk y del ingeniero Huli, que se enfoca en el campo de la ciberseguridad, el grupo detrás de este incidente es un colectivo de hackers llamado TeamPCP, que ha estado activo desde diciembre de 2025 y ha estado estableciendo canales a través de programas de mensajería como Telegram para realizar sus actividades.
Huli señala que, durante el proceso de ataque, los hackers utilizaron un componente de ataque automatizado llamado hackerbot-claw. Este nombre ingeniosamente se alineó con la reciente tendencia en el ámbito de la IA, específicamente la de agentes de IA para criar langostas (OpenClaw).
Este grupo de hackers atacó de manera precisa herramientas de infraestructura de alto privilegio y ampliamente utilizadas, incluyendo Trivy y LiteLLM, y supo aprovechar las tendencias más recientes en IA para aumentar la escala del ataque, mostrando un enfoque organizado y dirigido en sus métodos criminales.

Fuente de la imagen: Huli Charla Informal ｜ El ingeniero Huli, que se enfoca en ciberseguridad, explica el incidente de ataque a la cadena de suministro de Trivy y LiteLLM (captura de pantalla parcial)

Con la popularización de las herramientas de IA, el control de permisos y la seguridad de la cadena de suministro en el proceso de desarrollo se han convertido en riesgos que todas las empresas no pueden ignorar.
Casos como el hackeo de cuentas NPM de conocidos desarrolladores en años recientes, que permitió que paquetes de JavaScript fueran infectados con código malicioso, exponiendo a la mayoría de DApps y billeteras; o el hecho de que Anthropic revelara que hackers chinos lanzaron la primera gran operación de espionaje automatizado en la red con IA a través de Claude Code, son ejemplos que deben tomarse como advertencia.