En bref

  • TeamPCP a backdooré les versions 1.82.7 et 1.82.8 de LiteLLM sur PyPI le 24 mars 2026, exposant 3,4 millions de téléchargements quotidiens pendant environ 3 heures.
  • L'attaque exploite en cascade la compromission de Trivy (GitHub Actions CI/CD) pour voler les credentials PyPI du mainteneur de LiteLLM.
  • Tout environnement Python ayant installé ces versions dans la fenêtre d'exposition est potentiellement compromis ; rotation immédiate de tous les secrets recommandée.

Une attaque supply chain en cascade sur l'écosystème Python IA

Le 24 mars 2026, la plateforme PyPI a mis en quarantaine deux versions de LiteLLM — 1.82.7 et 1.82.8 — après leur compromission par le groupe TeamPCP dans le cadre d'une vaste campagne d'attaques supply chain multi-écosystèmes. LiteLLM, bibliothèque Python permettant d'interfacer facilement plus d'une centaine de modèles de langage (OpenAI, Anthropic, Mistral, Ollama, etc.), enregistre environ 3,4 millions de téléchargements par jour sur PyPI, ce qui en fait une cible de choix pour tout acteur cherchant à infecter silencieusement des environnements de développement et de production liés à l'IA. La fenêtre d'exposition a duré environ trois heures, entre la publication des packages malveillants vers 14h00 UTC et leur mise en quarantaine par PyPI. Durant ce laps de temps, tout développeur, tout pipeline CI/CD ou tout environnement Python ayant installé ou mis à jour LiteLLM a potentiellement récupéré la backdoor.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Le vecteur d'attaque est particulièrement sophistiqué car indirect. TeamPCP n'a pas attaqué LiteLLM frontalement : le groupe avait d'abord compromis le workflow GitHub Actions de Trivy, le populaire scanner de vulnérabilités open source maintenu par Aqua Security — une intrusion déjà documentée la semaine passée. LiteLLM utilisant Trivy dans son propre pipeline de sécurité, ses maintainers ont déclenché ce workflow compromis, exposant involontairement les credentials PyPI du CEO Krish Dholakia à l'infrastructure de collecte de TeamPCP. Le compte GitHub du dirigeant a ensuite été pris en main par les attaquants, leur permettant de publier les versions vérolées directement sur PyPI avec une légitimité apparente totale. Cette cascade illustre comment la campagne TeamPCP — qui touche également npm, GitHub Actions, Docker Hub et OpenVSX — exploite la chaîne de confiance entre outils de développement pour rebondir d'un écosystème à l'autre.

La technique du fichier .pth : une backdoor qui infecte tout Python

Ce qui distingue cette attaque des simples cas de typosquatting est la technique d'infection employée dans la version 1.82.8. Les analystes ont identifié un fichier litellm_init.pth (34 628 octets) déposé dans le répertoire site-packages de Python. Les fichiers .pth sont automatiquement chargés par Python à chaque démarrage de l'interpréteur, pas uniquement lors de l'import de LiteLLM. Concrètement, la backdoor s'exécute dans chaque processus Python lancé sur la machine compromise. Elle opère en plusieurs phases : collecte de données système, exfiltration d'identifiants (tokens API, credentials cloud, clés SSH), mouvement latéral dans les environnements Kubernetes, puis installation d'une persistance discrète.

La même campagne avait déjà ciblé les extensions VSCode et les packages npm malveillants dans les semaines précédentes, confirmant une stratégie coordonnée visant l'outillage DevSecOps. La cible finale est systématiquement la même : secrets CI/CD, tokens cloud et clés API LLM permettant un accès persistant à des environnements de production à forte valeur.

Ce qu'il faut faire si vous utilisez LiteLLM

  • Vérifiez votre historique pip/conda pour tout install de LiteLLM 1.82.7 ou 1.82.8 entre le 24 mars 14h00 UTC et 17h00 UTC.
  • Si vous avez été exposés : révoquez immédiatement tous vos tokens API (OpenAI, Anthropic, AWS, GCP, Azure) et credentials CI/CD.
  • Scannez vos environnements Python pour la présence du fichier litellm_init.pth dans site-packages.
  • Mettez à jour LiteLLM vers la version 1.82.9 ou supérieure, publiée après audit de sécurité par les mainteneurs.

Comment savoir si mon environnement a installé les versions compromises de LiteLLM ?

Exécutez pip show litellm pour voir la version installée. Consultez vos logs pip pour des installations entre le 24 mars 14h00 et 17h00 UTC. Recherchez le fichier litellm_init.pth dans vos répertoires site-packages. En cas de doute, traitez l'environnement comme compromis, révoquez tous vos secrets et réinstallez depuis une image propre. Le bulletin de sécurité officiel LiteLLM fournit les indicateurs de compromission (IOC) détaillés.

Article suivant recommandé

EvilTokens PhaaS : 340 organisations M365 touchées →

La plateforme PhaaS EvilTokens a compromis plus de 340 organisations Microsoft 365 en cinq pays via du phishing OAuth De

Découvrez mon dataset

sbom-supply-chain-fr

Dataset SBOM et supply chain bilingue FR/EN

Voir →

Points clés à retenir

  • Contexte : LiteLLM piraté : TeamPCP étend sa campagne à PyPI — un sujet critique pour la cybersécurité des organisations
  • Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
  • Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Termes clés

  • cyberattaque
  • ransomware
  • phishing
  • vulnérabilité
  • patch
  • zero-day
  • CERT

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.