Los hackers introducen código para robar billeteras de criptomonedas en una herramienta de IA popular que se ejecuta cada vez

Una liberación envenenada de LiteLLM convirtió una instalación rutinaria de Python en un ladrón de secretos consciente de la criptografía que buscaba monederos, material de validadores de Solana y credenciales en la nube cada vez que se iniciaba Python.

El 24 de marzo, entre las 10:39 UTC y las 16:00 UTC, un atacante que había obtenido acceso a una cuenta de mantenedor publicó dos versiones maliciosas de LiteLLM en PyPI: 1.82.7 y 1.82.8.

LiteLLM se comercializa como una interfaz unificada para más de 100 proveedores de modelos de lenguaje grandes, una posición que la coloca, por diseño, dentro de entornos de desarrolladores ricos en credenciales. PyPI Stats registra 96,083,740 descargas solo en el último mes.

Las dos compilaciones conllevaban niveles de riesgo distintos. La versión 1.82.7 requería una importación directa de litellm.proxy para activar su carga útil, mientras que la versión 1.82.8 plantó un archivo .pth (litellm_init.pth) en la instalación de Python.

La propia documentación de Python confirma que las líneas ejecutables en archivos .pth se ejecutan en cada inicio de Python, por lo que 1.82.8 se ejecutó sin ninguna importación en absoluto. Cualquier máquina en la que estuviera instalado ejecutó código comprometido en el momento en que Python se lanzó la siguiente vez.

FutureSearch estima 46,996 descargas en 46 minutos, y 1.82.8 representa 32,464 de ellas.

Además, contó 2,337 paquetes de PyPI que dependían de LiteLLM, y el 88% permitía el rango de versiones comprometidas en el momento del ataque.

La propia página de incidente de LiteLLM advirtió que cualquiera cuyo árbol de dependencias sacara LiteLLM a través de una restricción transitiva no fijada (unpinned) durante la ventana debía tratar su entorno como potencialmente expuesto.

El equipo de DSPy confirmó que tenía una restricción de LiteLLM de “superior o igual a 1.64.0” y advirtió que instalaciones nuevas durante la ventana podrían haberse resuelto a las versiones envenenadas.

Construido para cazar cripto

La ingeniería inversa del payload por parte de SafeDep hace explícita la orientación a la criptografía.

El malware buscó archivos de configuración de carteras de Bitcoin y archivos wallet*.dat, directorios de llaves (keystores) de Ethereum y archivos de configuración de Solana bajo ~/.config/solana.

SafeDep dice que el recolector dio un trato especial a Solana, mostrando búsquedas dirigidas para pares de claves de validador, claves de cuenta de votación y directorios de despliegue de Anchor.

La documentación de desarrolladores de Solana establece la ruta predeterminada de la clave (keypair) de la CLI en ~/.config/solana/id.json. La documentación de Anza sobre validadores describe tres archivos de autoridad centrales para la operación del validador y afirma que el robo del retirador autorizado da a un atacante control completo sobre las operaciones del validador y las recompensas.

Anza también advierte que la clave de retiro nunca debería permanecer en la máquina del validador.

SafeDep afirma que el payload recopiló claves SSH, variables de entorno, credenciales de la nube y secretos de Kubernetes entre namespaces. Cuando encontró credenciales válidas de AWS, consultó AWS Secrets Manager y el SSM Parameter Store para obtener información adicional.

También creó pods privilegiados node-setup-* en kube-system e instaló persistencia mediante sysmon.py y una unidad de systemd.

Para los equipos cripto, el riesgo acumulado corre en una dirección específica. Un infostealer que recopila un archivo de wallet junto con la frase de acceso, el secreto de despliegue, el token de CI o la credencial del clúster del mismo host puede convertir un incidente de credenciales en un vaciado de wallet, un despliegue de contrato malicioso o una toma de un firmante (signer).

Lectura relacionada

El TVL de Curve cae por debajo de $1B tras el exploit de vulnerabilidad en Vyper

El token CRV de Curve se volvió altamente volátil tras el ataque, lo que generó temores de contagio.

31 jul 2023 · Oluwapelumi Adejumo

El malware ensambló exactamente esa combinación de artefactos.

Este ataque forma parte de una campaña más amplia, ya que la nota de incidente de LiteLLM vincula el compromiso con el incidente anterior de Trivy, y Datadog y Snyk describen a LiteLLM como una etapa posterior en una cadena de TeamPCP de varios días que pasó por varios ecosistemas de desarrolladores antes de llegar a PyPI.

La lógica de targeting se mantiene de forma consistente en toda la campaña: una herramienta de infraestructura rica en secretos proporciona acceso más rápido a material cercano a wallets.

Resultados potenciales para este episodio

El caso alcista se basa en la rapidez de la detección y en la ausencia, hasta ahora, de robos de cripto confirmados públicamente.

PyPI puso en cuarentena ambas versiones aproximadamente a las 11:25 UTC el 24 de marzo. LiteLLM eliminó las compilaciones maliciosas, rotó las credenciales del mantenedor y se involucró a Mandiant. En este momento, PyPI muestra 1.82.6 como la última versión visible.

Si los defensores rotaron secretos, auditaron litellm_init.pth y trataron los hosts expuestos como quemados antes de que los adversarios pudieran convertir artefactos exfiltrados en explotación activa, entonces el daño permanece contenido a la exposición de credenciales.

El incidente también acelera la adopción de prácticas que ya están ganando terreno. Trusted Publishing de PyPI reemplaza los tokens manuales de API de larga duración por identidades respaldadas por OIDC de corta duración; aproximadamente 45,000 proyectos lo habían adoptado para noviembre de 2025.

CryptoSlate Daily Brief

Señales diarias, cero ruido.

Titulares que mueven el mercado y contexto entregados cada mañana en una lectura concisa.

5-minute digest 100k+ lectores

Dirección de correo electrónico

Obtén el brief

Gratis. Sin spam. Cancela la suscripción en cualquier momento.

Ups, parece que hubo un problema. Por favor, inténtalo de nuevo.

Ya estás suscrito. Bienvenido a bordo.

El incidente de LiteLLM implicó el abuso de credenciales de publicación de releases, lo que hace mucho más difícil descartar el caso de cambiar.

Para los equipos cripto, el incidente crea urgencia para una separación de roles más estricta: retiradores de validador en frío mantenidos totalmente offline, firmantes de despliegue aislados, credenciales de la nube de corta duración y grafos de dependencias bloqueados.

Tanto la rápida fijación (pinning) del equipo de DSPy como las propias guías posteriores al incidente de LiteLLM apuntan a compilaciones herméticas como estándar de remediación.

Un diagrama de línea de tiempo traza la ventana de compromiso de LiteLLM desde las 10:39 UTC hasta las 16:00 UTC del 24 de marzo, anotando 46,996 descargas directas en 46 minutos y un radio de explosión (blast radius) posterior de 2,337 paquetes de PyPI dependientes, el 88% de los cuales permitió el rango de versiones comprometidas.

El caso bajista se inclina por el retraso. SafeDep documentó un payload que exfiltró secretos, se extendió dentro de clústeres de Kubernetes e instaló persistencia antes de la detección.

Un operador que instaló una dependencia envenenada dentro de un build runner o un entorno conectado a un clúster el 24 de marzo puede no descubrir el alcance completo de esa exposición durante semanas. Las claves API exfiltradas, las credenciales de despliegue y los archivos de wallet no caducan cuando se detecta. Los adversarios pueden mantenerlas y actuar más tarde.

Sonatype pone la disponibilidad maliciosa en “al menos dos horas”; la propia guía de LiteLLM cubre instalaciones hasta las 16:00 UTC; y el timestamp de cuarentena de FutureSearch es 11:25 UTC.

Los equipos no pueden confiar solo en el filtrado por timestamp para determinar su exposición, ya que esas cifras no ofrecen una señal clara de “todo despejado” (all-clear).

El escenario más peligroso en esta categoría se centra en entornos de operadores compartidos. Un intercambio cripto, un operador de validador, un equipo de bridge o un proveedor de RPC que hubiera instalado una dependencia transitiva envenenada dentro de un build runner habría expuesto un plano de control completo.

Los volcados de secretos de Kubernetes a través de namespaces y la creación de pods privilegiados en el namespace kube-system son herramientas de acceso al plano de control diseñadas para el movimiento lateral.

Si ese movimiento lateral alcanzara un entorno donde hubiera material de validador “hot” o “semi-hot” presente en máquinas alcanzables, las consecuencias podrían ir desde robo de credenciales individual hasta el compromiso de la autoridad del validador.

Un diagrama de flujo de cinco etapas traza la ruta del ataque desde una instalación transitiva envenenada de LiteLLM mediante la ejecución automática en el inicio de Python, la recolección de secretos y la expansión del plano de control de Kubernetes hasta resultados potenciales en cripto.

La cuarentena de PyPI y la respuesta al incidente de LiteLLM cerraron la ventana activa de distribución.

Los equipos que instalaron o actualizaron LiteLLM el 24 de marzo, o que ejecutaron builds con dependencias transitivas sin fijar que se resolvieron a 1.82.7 o 1.82.8, deberían tratar sus entornos como completamente comprometidos.

Algunas acciones incluyen rotar todos los secretos accesibles desde las máquinas expuestas, auditar litellm_init.pth, revocar y volver a emitir credenciales de la nube, y verificar que ningún material de autoridad de validador fuera accesible desde esos hosts.

El incidente de LiteLLM documenta una ruta de un atacante que sabía exactamente qué archivos fuera de la cadena (off-chain) buscar, tenía un mecanismo de entrega con decenas de millones de descargas mensuales y construyó persistencia antes de que alguien retirara las compilaciones de la distribución.

La maquinaria fuera de la cadena que mueve y protege la cripto estaba directamente en la ruta de búsqueda del payload.

Mencionado en este artículo

Bitcoin Ethereum Solana

Publicado en

Destacado Hacks Crimen Solana Web3

Autor Ver perfil →

Gino Matos

Reportero • CryptoSlate

Gino Matos se graduó en derecho y es un periodista experimentado con seis años de experiencia en la industria cripto. Su experiencia se centra principalmente en el ecosistema blockchain brasileño y en desarrollos en finanzas descentralizadas (DeFi).

@pelicamatos LinkedIn

Editor Ver perfil →

Liam ‘Akiba’ Wright

Editor en Jefe • CryptoSlate

También conocido como “Akiba”, Liam Wright es el Editor en Jefe de CryptoSlate y presentador de SlateCast. Cree que la tecnología descentralizada tiene el potencial de generar un cambio positivo generalizado.

@akibablade LinkedIn

Contexto

Cobertura relacionada

Cambia categorías para profundizar o obtener contexto más amplio.

Solana Últimas noticias Hacks Categoría principal Comunicados de prensa Newswire

Regulación

La SEC reduce drásticamente la presión de KYC sobre Bitcoin, XRP y Solana con nuevas reglas cripto

La SEC redefine el panorama cripto con una nueva taxonomía, marcando límites y dando espacio para la innovación en privacidad.

3 semanas hace

Tokenización

Wall Street se apoya en Solana pese a su reputación de memecoin

La estructura de emisión y reembolso 24/5 de Ondo mantiene valores con corredores-agentes (broker-dealers) mientras Solana maneja la capa de transferencia.

3 semanas hace

Tether sigue teniendo más efectivo, pero el USDC de Circle ahora mueve más del dinero cripto

Stablecoins · 3 semanas hace

XRP Ledger acaba de superar a Solana en valor de tokenización de RWA y el conteo de titulares revela por qué

Tokenización · 2 meses hace

Fallo aterrador en Solana: expuso lo fácil que la red “siempre activa” podría haber sido detenida por hackers

Análisis · 2 meses hace

El ataque público de Solana a Starknet expone cómo miles de millones en volumen de “mercenarios” están inflando artificialmente las valuaciones de la red ahora mismo

DeFi · 3 meses hace

Hacks

El congelamiento de USDC de Circle enfrenta nuevo escrutinio tras carteras bloqueadas y respuesta tardía al robo

Circle puede congelar USDC rápido, pero los críticos dicen que los casos recientes expusieron estándares de revisión disparejos y un riesgo operativo creciente.

1 día hace

Hacks

Circle bajo ataque tras flujos de USDC robado por $230M desbloqueados días después de congelar cuentas legítimas

El exploit de Drift expone una contradicción creciente en cómo los emisores de stablecoin hacen cumplir el control durante las crisis.

3 días hace

Por qué los hacks de cripto no terminan y continúan incluso cuando el dinero ya no está

Análisis · 2 semanas hace

La visión de $2 billones (2 trillones) de stablecoins del Tesoro se encuentra con una verificación de realidad mientras USD1 se desacopla

Stablecoins · 1 mes hace

La seguridad de la reserva de Bitcoin de $28B del gobierno de EE. UU. está amenazada después de un robo del fin de semana que revela una falla

Hacks · 2 meses hace

Bots “Robin Hood” digitales roban a los hackers, pero no siempre devuelven lo que le quitan a los pobres

Hacks · 2 meses hace

CoinRabbit reduce tasas de préstamo de cripto para préstamos de XRP y 300+ activos

Con las tasas de préstamo comenzando ahora en 11.95%, CoinRabbit expande el endeudamiento respaldado por cripto a menor costo en XRP y 300+ activos compatibles.

3 horas hace

ADI Chain anuncia ADI Predictstreet como partner de mercado de predicciones para la Copa Mundial de la FIFA 2026

Respaldado por ADI Chain, ADI Predictstreet se estrenará en el escenario más grande del fútbol como el partner oficial del mercado de predicciones de la Copa Mundial de la FIFA 2026.

3 días hace

El intercambio BTCC nombrado socio regional oficial del equipo nacional de Argentina

PR · 4 días hace

Encrypt llegará a Solana para impulsar mercados de capitales cifrados

PR · 6 días hace

Ika llegará a Solana para impulsar mercados de capital sin puente (bridgeless)

PR · 6 días hace

El lanzamiento de la mainnet TxFlow L1 marca una nueva fase para las finanzas on-chain multiaplicación

PR · 6 días hace

Disclaimer

Las opiniones de nuestros autores son únicamente suyas y no reflejan la opinión de CryptoSlate. Ninguna de la información que leas en CryptoSlate debe considerarse como asesoría de inversión, y CryptoSlate tampoco respalda ningún proyecto que pueda mencionarse o enlazarse en este artículo. Comprar y operar criptomonedas debe considerarse una actividad de alto riesgo. Por favor, realiza tu propia diligencia debida antes de tomar cualquier acción relacionada con el contenido de este artículo. Finalmente, CryptoSlate no asume ninguna responsabilidad en caso de que pierdas dinero al operar criptomonedas. Para más información, consulta nuestras cláusulas de exención de responsabilidad de la empresa.