Des versions piégées de LiteLLM, bibliothèque Python utilisée par 36 % des environnements cloud et des géants comme Stripe ou Netflix, ont compromis des milliers d'entreprises. Le groupe TeamPCP a volé clés API, identifiants cloud et secrets Kubernetes pendant des heures avant d'être détecté.
Pas encore de commentaire. Lancez la discussion !
Un simple package Python a suffi à compromettre des milliers d'entreprises. Le 24 mars 2026, des versions piégées de LiteLLM, une bibliothèque open source utilisée pour router les appels API vers des centaines de modèles d'intelligence artificielle, ont été publiées sur PyPI, le dépôt officiel de packages Python. Pendant au moins deux heures, chaque développeur ayant installé ou mis à jour LiteLLM a involontairement ouvert les portes de son infrastructure à un groupe de hackers baptisé TeamPCP.
L'ampleur du désastre donne le vertige. LiteLLM cumule 97 millions de téléchargements mensuels et se retrouve dans 36 % des environnements cloud professionnels. Parmi ses utilisateurs figurent des géants comme Stripe, Netflix et Google, mais aussi des frameworks d'IA majeurs comme CrewAI, DSPy et MLflow. Les attaquants ont réussi à compromettre le compte d'un mainteneur légitime pour publier deux versions vérolées, les 1.82.7 et 1.82.8, en contournant les pipelines de déploiement officiels. Le malware, d'une sophistication redoutable, utilisait un encodage en couches combinant Base64, chiffrement AES-256-CBC et clé RSA pour exfiltrer tout ce qu'il trouvait : clés SSH, tokens API, identifiants cloud AWS, Azure et GCP, secrets Kubernetes, certificats TLS, et même les configurations de portefeuilles de cryptomonnaies.
Le code malveillant ne se contentait pas de voler des données. Il contactait ses serveurs de commande toutes les cinquante minutes seulement, un rythme volontairement lent pour passer sous le radar des systèmes de détection automatisés. Dans certains cas, les serveurs renvoyaient de simples liens YouTube, probablement pour ne délivrer la charge utile qu'à des cibles sélectionnées. Plus inquiétant encore, dans les environnements Kubernetes, le malware déployait un pod privilégié capable de s'échapper du conteneur, de monter le système de fichiers de la machine hôte et de s'inscrire comme service persistant via systemd. En clair, une fois infiltré, il devenait presque impossible à déloger.
La startup Mercor, spécialisée dans le recrutement par intelligence artificielle, est devenue le premier cas public de cette attaque en chaîne. Le 31 mars, le groupe d'extorsion Lapsus$ a revendiqué le vol de données internes de l'entreprise, publiant des échantillons contenant des conversations Slack, des données de ticketing et des vidéos de sessions entre l'IA de Mercor et des contractuels. Mercor a confirmé l'incident, précisant être "l'une des milliers d'entreprises" touchées par la compromission de LiteLLM. Des dizaines de milliers d'environnements d'entreprise seraient potentiellement affectés, selon les chercheurs en sécurité.
Cette attaque illustre un paradoxe cruel de l'écosystème IA actuel. Les entreprises investissent des milliards dans des modèles toujours plus puissants, mais leur infrastructure repose souvent sur des bibliothèques open source maintenues par une poignée de contributeurs. LiteLLM est devenue un composant critique, un passage quasi obligé entre les applications et les API des grands modèles de langage, sans que la sécurité de sa chaîne de distribution ne soit à la hauteur de son importance. L'incident rappelle la faille Log4Shell de 2021, mais cette fois, c'est l'ensemble de l'écosystème IA qui est visé. Tous les identifiants exposés doivent désormais être considérés comme compromis et régénérés, un chantier titanesque pour les équipes de sécurité du monde entier.
