LiteLLM fue la puerta que tumbó al unicornio de IA de $10 mil millones: cómo un ataque de cadena de suministro comprometió a Mercor

Cuarenta minutos. Eso fue todo el tiempo que los atacantes necesitaron para dejar una bomba en uno de los paquetes de Python más usados en el mundo de IA, y llevarse 4 terabytes de data de una de las startups más calientes del momento. Si construyes apps de IA con LiteLLM, o conoces a alguien que lo haga, este artículo es urgente.

Cómo empezó todo: no atacaron a Mercor, atacaron a la cadena

Esto no fue un hackeo directo. Fue algo más elegante y mucho más peligroso: un supply chain attack, o ataque de cadena de suministro.

El 19 de marzo de 2026, el grupo conocido como TeamPCP comprometió a Trivy, el escáner de vulnerabilidades de Aqua Security que usa LiteLLM en su propio pipeline de CI/CD. Con eso en la bolsa, cinco días después, el 24 de marzo, subieron dos versiones envenenadas de LiteLLM a PyPI: la 1.82.7 y la 1.82.8.

Las versiones maliciosas estuvieron disponibles durante aproximadamente 40 minutos antes de que las retiraran. Suena poco, pero según Bitsight, LiteLLM está presente en el 36% de todos los entornos cloud del mundo y se descarga 95 millones de veces al mes. En ese contexto, 40 minutos es una eternidad.

El malware que metieron adentro no era poca cosa: operaba en tres etapas.

1. Cosechador de credenciales: extraía SSH keys, credenciales de AWS, GCP y Azure, secretos de Kubernetes, archivos .env, wallets de crypto (Bitcoin, Ethereum, Solana, Litecoin) y básicamente cualquier llave que encontrara en la máquina. Todo se empaquetaba en un archivo tpcp.tar.gz y se mandaba a infraestructura controlada por los atacantes en models.litellm[.]cloud.

2. Movimiento lateral en Kubernetes: el payload desplegaba pods privilegiados en cada nodo del cluster para seguir escalando.

3. Backdoor persistente: instalaba un servicio de systemd llamado sysmon.service que cada 50 minutos hacía polling a checkmarx[.]zone/raw para bajar más payloads.

En la versión 1.82.7, el código malicioso estaba embebido en litellm/proxy/proxy_server.py y se ejecutaba al importar el módulo. La 1.82.8 fue más agresiva: usó un archivo litellm_init.pth que se ejecuta automáticamente al arrancar Python, antes de que el usuario sepa que algo está pasando.

Mercor: la startup de $10 billones que trabaja con OpenAI y Anthropic

De todos los afectados, el caso más sonado fue Mercor, una startup de reclutamiento con IA que en octubre de 2025 levantó una Serie C de $350 millones liderada por Felicis Ventures, alcanzando una valuación de $10 mil millones. Su lista de clientes incluye a OpenAI, Anthropic y Meta. Procesan más de $1.5 millones en pagos diarios a contratistas.

El grupo Lapsus$, trabajando en colaboración con TeamPCP, publicó a Mercor en su sitio de filtraciones y reclamó haber extraído más de 4 terabytes de datos. La lista de lo que dicen tener es de terror:

• 939 GB de código fuente de la plataforma
• 211 GB de base de datos de usuarios
• ~3 TB de grabaciones de entrevistas en video y documentos de verificación de identidad
• Comunicaciones internas de Slack
• Configuraciones de TailScale VPN
• PII de contratistas incluyendo números de Seguro Social

Mercor reconoció el incidente y dijo que era “una de miles” de empresas afectadas por el ataque a LiteLLM. Lapsus$ ya está subastando la data en el mercado negro.

Mandiant reportó en el RSA Conference que conocen más de 1,000 entornos SaaS afectados activamente. Threat hunters de vx-underground estiman que se exfiltraron datos de más de 500,000 máquinas.

Esto ya no es un problema de Mercor solamente.

El contexto: TeamPCP + Lapsus$ es una combinación que da miedo

Según investigadores de Wiz citados por The Register, Lapsus$ ahora está operando en colaboración con TeamPCP, el grupo detrás de esta serie de ataques a la cadena de suministro que también incluyó ecosistemas de GitHub Actions, Docker Hub, npm, Open VSX y PyPI.

Además de Lapsus$, TeamPCP está trabajando con los ransomware gangs CipherForce y Vect para extorsionar a las víctimas. Es una operación bien coordinada, no script kiddies sueltos.

Este tipo de ataques coordinados contra herramientas de desarrollo son exactamente de lo que hemos hablado en el blog antes, como cuando cubrimos el spyware Darksword que comprometía iPhones sin que el usuario hiciera nada: el vector de ataque ya no es el usuario final, es la infraestructura que usa el developer.

El ángulo mexicano: LiteLLM lo usa medio ecosistema de IA en LATAM

LiteLLM es uno de los paquetes más populares para construir apps de IA en Python. Si has seguido el boom de vibe coding y desarrollo de apps con IA en 2026, ya sabes que hay miles de devs en México y LATAM construyendo proxies de LLMs, chatbots, pipelines de embeddings, y herramientas internas usando exactamente esta librería.

LiteLLM te permite conectar múltiples APIs de modelos (OpenAI, Anthropic, Gemini, etc.) con una sola interfaz unificada. Es re copado para prototipado rápido, pero también significa que tus API keys de producción están en la misma máquina donde corre el paquete.

Si actualizaste automáticamente entre el 24 de marzo y las horas siguientes a esa fecha, potencialmente te comiste las versiones maliciosas.

Checklist urgente: qué hacer si usas LiteLLM

No importa si tu proyecto es personal o empresarial. Si corres LiteLLM en cualquier ambiente, haz esto ahora:

1. Verifica qué versión tienes instalada

pip show litellm

Si dice 1.82.7 o 1.82.8, ya sabes que estás comprometido. Actualiza de inmediato.

2. Actualiza a una versión limpia Regresa a 1.82.6 o sube a la versión más reciente verificada. Las versiones maliciosas ya fueron removidas de PyPI.

3. Rota TODAS las credenciales que estuvieran en esa máquina

• API keys de OpenAI, Anthropic, Gemini y cualquier otro proveedor
• Credenciales de AWS, GCP, Azure
• Tokens de GitHub y GitLab
• SSH keys
• Secretos de CI/CD (GitHub Actions, GitLab CI)
• Archivos .env completos
• Configuraciones de Kubernetes

No solo las que creas que usaba LiteLLM: si estaban en la misma máquina, el malware las vio.

4. Audita tus clusters de Kubernetes Revisa pods no autorizados, permisos de cuentas de servicio y actividad inusual a nivel de nodo.

5. Busca el backdoor Revisa si existe el servicio sysmon.service en systemd. Si lo encuentras, eliminalo y asume que la máquina está comprometida.

6. Monitorea tráfico de red Bloquea y monitorea conexiones a models.litellm[.]cloud y checkmarx[.]zone. Si ya ves tráfico hacia ahí, hay data saliendo.

7. Haz un análisis forense Si tienes cualquier señal de compromiso, no sigas corriendo esa máquina. Aíslala y revisa qué salió.

La moraleja que nadie quiere escuchar

The Hacker News documentó cómo TeamPCP no atacó directamente a LiteLLM, sino a Trivy, el scanner de seguridad que LiteLLM usaba en su propio pipeline. Eso es lo que hace este ataque especialmente retorcido: comprometieron una herramienta de seguridad para que fuera el vector de infección.

La lección aquí no es “no uses LiteLLM”. La lección es que el modelo de confianza implícita en dependencias de open source ya no funciona. Si estás construyendo apps de IA para clientes o en producción, necesitas un proceso para verificar integridad de paquetes, pin your dependencies con hashes, y monitorear cambios en tus deps de forma activa.

Y como ya vimos con la regulación de IA que ya afecta a empresas en México, la responsabilidad de asegurar estos sistemas cada vez recae más en los equipos que los construyen, no en los proveedores del paquete.

¿Usas LiteLLM o conoces proyectos en tu empresa que lo usen? Échate un ojo al checklist y comparte esto con tu equipo. Mejor revisar ahorita que lamentarse después.

Fuentes

• TechCrunch: Mercor says it was hit by cyberattack tied to compromise of open source LiteLLM project
• Fortune: Mercor, a $10 billion AI startup, confirms it was the victim of a major cybersecurity breach
• The Register: Mercor says it was ‘one of thousands’ hit in LiteLLM attack
• The Hacker News: TeamPCP Backdoors LiteLLM Versions 1.82.7-1.82.8 via Trivy CI/CD Compromise
• Bitsight: LiteLLM Supply Chain Compromise Technical Analysis
• SecurityWeek: Mercor Hit by LiteLLM Supply Chain Attack
• LiteLLM Security Update Oficial