O Ataque na Cadeia de Suprimentos do LiteLLM: Uma Análise Técnica Completa do Momento Mais Crítico do Ecossistema de IA

A equipe TeamPCP explorou uma configuração incorreta em `pull_request_target` do GitHub Actions no scanner Trivy da Aqua Security em 27 de fevereiro para roubar um PAT privilegiado, reescreveu 75 dos 76 tags de versão mutáveis no repositório trivy-action para entregar um código de roubo de credenciais e, por fim, capturou o token de publicação PyPI do LiteLLM de seu pipeline CI/CD não fixado para lançar versões maliciosas 1.82.7 e 1.82.8 (97 milhões de downloads mensais). A carga útil da versão 1.82.8 usou um arquivo `.pth` em site-packages para disparar um infostealer duplamente codificado em base64 a cada inicialização do interpretador Python, visando chaves SSH, credenciais AWS/GCP/Azure, segredos CI/CD e carteiras de criptomoedas, com dados roubados criptografados em AES-256 e RSA-4096 antes da exfiltração para `models.litellm.cloud`. Os defensores devem fixar todas as ações do GitHub a hashes de commit imutáveis, impor lockfiles estritos (Poetry ou uv), restringir tokens CI/CD ao privilégio mínimo e tratar qualquer ambiente que executou Python entre 09:00 e 13:30 UTC em 24 de março como totalmente comprometido, exigindo rotação completa de credenciais.