Une cyberattaque massive vient de frapper le monde de l’intelligence artificielle. Des pirates sont en effet parvenus à compromettre une brique logicielle utilisée par de nombreux développeurs. Le hack a provoqué une réaction en chaîne qui s’est soldée par un immense vol de données.
LiteLLM, l’une des bibliothèques Python les plus utilisées dans l’écosystème de l’IA générative, vient de subir une attaque. La bibliothèque, qui comptabilise plus de 40 000 étoiles sur GitHub, propose une interface unifiée qui permet d’interagir avec de grands modèles de langage, comme ceux d’OpenAI, de Google ou encore d’Anthropic. Pour les développeurs, l’utilisation de LiteLLM permet de se connecter à une grande variété de modèles d’IA. C’est pourquoi la bibliothèque, développée par BerriAI en 2023, est rapidement devenue populaire auprès des développeurs.
C’est aussi pourquoi elle s’est retrouvée dans le collimateur des cybercriminels. Fin mars 2026, TeamPCP, un gang de cybercriminels spécialisé dans les attaques de la chaîne d’approvisionnement, est parvenu à compromettre la bibliothèque LiteLLM. Pour arriver à leurs fins, les hackers ont lancé une attaque à l’encontre d’un outil qui n’avait rien à voir avec la bibliothèque. On vous explique le déroulé de la cyberattaque.
Software horror: litellm PyPI supply chain attack.
Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database… https://t.co/aKjZJcECFq
— Andrej Karpathy (@karpathy) March 24, 2026
À lire aussi : « J’ai dû courir jusqu’à mon Mac mini » – une experte Meta a perdu le contrôle de son IA
Une cyberattaque en chaîne
Tout d’abord, TeamPCP s’est attaqué au scanner de vulnérabilités Trivy d’Aqua Security. Cet outil gratuit, qui permet de vérifier la sécurité de lignes de code, est massivement utilisé par les développeurs… y compris par l’équipe de LiteLLM pour tester leurs mises à jour. Les pirates ont réussi à compromettre le compte Github de Trivy. Ils ont alors publié une fausse version officielle de Trivy. Cette version vérolée cachait un virus capable de voler des données.
Une fois installée, la fausse version de l’outil a discrètement volé les mots de passe des personnes qui l’utilisent, dont ceux de l’équipe LiteLLM. Avec ces mots de passe volés, les pirates ont pu accéder aux ordinateurs de l’équipe ainsi qu’aux serveurs chargés des mises à jour. Le 24 mars 2026, les cybercriminels glissent un malware dans deux mises à jour de la bibliothèque. Sans s’en rendre compte, LiteLLM déploie deux mises à jour malveillantes sur PyPI, le dépôt officiel et centralisé des paquets logiciels pour le langage de programmation Python.
Les utilisateurs de LiteLLM installent donc un logiciel malveillant sur leurs appareils. Une fois arrivé à destination, le virus va fouiller la machine pour aspirer toutes les données qu’il peut. Il va notamment s’emparer des mots de passe et tokens, des fichiers de configuration, des tokens, des historiques, des clés AWS, Google Cloud, Azure ou encore des fichiers relatifs à des portefeuilles crypto. Les données volées sont chiffrées, compressées et transférées sur un domaine détenu par les hackers.
Le virus ne va pas s’arrêter là. Pour s’assurer de rester installé durablement sur les machines infectées, le malware de TeamPCP va implanter une porte dérobée. Cette backdoor se lance toute seule à chaque fois que la machine démarre, se relance automatiquement même si l’utilisateur ferme le processus et tourne en arrière‑plan, sans fenêtre ni message visible. Ensuite, le virus ne va pas rester sagement sur une seule machine. Le malware va se propager sur d’autres machines et d’autres serveurs de l’entreprise.
À lire aussi : Cette application IA populaire a exposé les conversations de 25 millions d’utilisateurs sur Internet
Une attaque découverte par hasard
Peu après l’infection, la cyberattaque est décelée par hasard par un développeur de l’entreprise FutureSearch. Celui-ci était en train de taper du code dans Cursor, un éditeur qui repose en grande partie sur l’IA. En coulisses, l’éditeur installe automatiquement des petites briques logicielles, dont LiteLLM. Dès que la bibliothèque est installée, le développeur se rend compte que quelque chose ne va pas. Son ordinateur se met à ramer violemment, et devient rapidement inutilisable.
En fouillant dans les processus en cours sur la machine, il découvre qu’un élément étrange se trouve dans la version récente de LiteLLM 1.82.8. Le développeur a alors tiré la sonnette d’alarme. Les chercheurs de FutureSearch se mettent à enquêter et découvrent peu à peu de quelle manière un virus voleur de données est parvenu à se glisser dans la bibliothèque.
Dès que l’alerte a été donnée, les versions piégées 1.82.7 et 1.82.8 ont été retirées et mises en quarantaine sur PyPI. L’équipe LiteLLM a rapidement communiqué en demandant aux utilisateurs de repasser sur la version antérieure, à savoir 1.82.6, le temps de corriger le tir et de sécuriser ses systèmes. Les chercheurs de FutureSearch estiment que toutes les données qui ont été en contact avec une machine ayant installé les versions malveillantes LiteLLM sont compromises.
« Si vous avez installé ou exécuté litellm v1.82.7 ou v1.82.8, traitez toutes les informations d’identification présentes sur les systèmes affectés comme compromises », abonde dans le même sens LiteLLM.
Une chaîne d’approvisionnement trop fragile
L’attaque à l’encontre de LiteLLM illustre bien les dangers qui pèsent sur la chaîne d’approvisionnement. En l’occurrence, il a suffi de pirater un seul compte pour contaminer une énorme partie de l’écosystème. Cette réaction en chaîne a même touché des développeurs qui n’ont jamais choisi LiteLLM eux‑mêmes. De nombreux outils d’IA, comme des agents ou des plugins, reposent en effet sur LiteLLM, un outil administré par une petite équipe de développeurs. Adopté par Netflix, Stripe ou Google, l’outil est utilisé par des millions de développeurs. Il est même téléchargé 3,4 millions de fois par jour. C’est pourquoi on peut considérer la chaîne d’approvisionnement logicielle actuelle comme particulièrement fragile.
The open source supply chain is collapsing in on itself.
Trivy gets compromised → LiteLLM gets compromised → credentials from tens of thousands of environments end up in attacker hands → and those credentials lead to the next compromise.
We are stuck in a loop. https://t.co/3GHrnApvWs
— Nagli (@galnagli) March 24, 2026
Pour Gal Nagli, expert en menaces informatiques chez Wiz, « la chaîne d’approvisionnement open source s’effondre sur elle-même ». Un autre chercheur de Wiz, Ben Read, pointe quant à lui du doigt le fait que « des outils comme LiteLLM sont présents dans plus d’un tiers des environnements cloud », ce qui contribue à fragiliser tout l’écosystème. De leur côté, les chercheurs d’Endor Labs estiment que les pirates de TeamPCP vont revenir à l’attaque et que « cette campagne n’est presque certainement pas terminée ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
The Hacker News