Hoy, 24 de marzo de 2026, se confirmó un ataque de supply chain en litellm, una de las librerías de Python más utilizadas para integrar modelos de inteligencia artificial en aplicaciones empresariales. La versión comprometida (1.82.8, y también la 1.82.7) fue publicada directamente en PyPI sin pasar por el proceso de release habitual del repositorio en GitHub.

Lo que hace crítico este incidente no es solo lo que el malware hace — es cómo llegó.

¿Cómo ocurrió el ataque?

El paquete malicioso incluía un archivo .pth llamado litellm_init.pth. Este tipo de archivo tiene una característica particular en Python: se ejecuta automáticamente cada vez que el intérprete arranca, sin necesidad de que el usuario haga nada. Esto significa que cualquier equipo o servidor con litellm 1.82.8 instalado ejecutó el código malicioso en cada proceso Python desde el momento de la instalación.

No hubo phishing. No hubo ingeniería social. Solo una actualización de rutina de un paquete confiable.

¿Qué hacía el malware?

Recolección: extraía credenciales SSH, archivos .env, claves de AWS, GCP y Azure, configuraciones de Kubernetes, contraseñas de bases de datos, historial de shell y cualquier archivo que coincidiera con patrones comunes de secretos.

Exfiltración: la información recolectada era cifrada con RSA de 4096 bits y enviada a un dominio externo (models.litellm.cloud) que no forma parte de la infraestructura legítima de litellm.

Movimiento lateral: si encontraba un token de Kubernetes, leía todos los secretos del cluster e intentaba crear pods privilegiados en cada nodo del namespace kube-system, instalando un backdoor persistente en el sistema.

¿Por qué esto importa más allá de litellm?

Este incidente es un recordatorio de algo que los equipos de seguridad saben pero que pocas organizaciones han resuelto operativamente: el riesgo no vive solo en las herramientas que TI aprueba. Vive en las dependencias de esas herramientas, en las actualizaciones automáticas, en los paquetes que los desarrolladores instalan para moverse más rápido.

Con la adopción acelerada de herramientas de IA en los equipos de desarrollo, esta superficie de ataque crece cada semana. Cada nueva librería de IA que un desarrollador instala puede traer consigo dependencias que nadie auditó.

¿Qué hacer si tienes litellm instalado?

Si instalaste o actualizaste litellm a partir del 24 de marzo de 2026, verifica la versión con pip show litellm. Si tienes la 1.82.7 o 1.82.8, elimina el paquete inmediatamente y purga el caché con pip cache purge.

Busca el archivo ~/.config/sysmon/sysmon.py en el sistema. Asume que cualquier credencial presente en el equipo afectado está comprometida: rota claves SSH, tokens de cloud, API keys en archivos .env y contraseñas de bases de datos.

Si operas Kubernetes, audita kube-system en busca de pods con nombres del tipo node-setup-* y revisa el acceso a secretos del cluster.

¿Tu equipo tiene visibilidad sobre lo que se instala en su entorno?