Volver a 20MINUTOS.ES

Una de las bibliotecas de Python más populares se convierte en una puerta trasera para acceder a todo tu ordenador

Un malware se extiende en Python
Un malware se extiende en PythonGenerado con IA | Computer Hoy
Software
Noticia
Claudia Pacheco

LiteLLM, una de las bibliotecas más populares de Python, esconde un malware que puede robar todos tus datos. Cuidado si has instalado una de las dos versiones infectadas.

Las recientes vulnerabilidades detectadas en GitHub y Jira son solo el inicio de una oleada de malwares. LiteLLM, una de las bibliotecas de Python más populares, se ha convertido en la herramienta preferida de los hackers.

Esta biblioteca de Python permite interactuar con modelos de lenguaje de IA. LiteLLM es extremadamente simple con una interfaz unificada para enviar solicitudes de compatibilidad a OpenAI, Anthropic, Google y otros proveedores.

Esta herramienta tiene más de 40.000 estrellas en GitHub, pero no se libra de ser el nuevo objetivo de los hackers. Una versión maliciosa puede acceder a todo tu ordenador en cuestión de segundos.

LiteLLM en el punto de mira

Python pierde cuota de mercado.
Python es más peligroso con una biblioteca infectada.Unsplash | Computer Hoy

El malware empezó a distribuirse el 24 de marzo de 2026. Un usuario publicó en PyPI la versión 1.82.8 de LiteLLM con un archivo .pth infectado llamado " litellm_init.pth ". Este documento se ejecuta automáticamente al iniciar un proceso de Python.

No es necesario importar la biblioteca para que se active el malware, lo que lo hace aún más peligroso. A esto se suman los problemas de seguridad desde la versión 1.82.7 de LiteLLM.

La 1.82.7 requiere importar desde biblioteca para que el archivo se active, así que el malware tarda más en ejecutarse. Todo cambia con la última versión de LiteLLM, es mucho más vulnerable a este tipo de ataques.

Los usuarios han detectado este malware por pura casualidad. Un desarrollador lo descubrió cuando un complemento que se ejecutaba dentro de Cursor descargó el paquete y su PC se quedó sin memoria RAM sin previo aviso.

Tras una investigación rápida, los expertos en seguridad comprobaron que era solo el inicio de una larga cadena. El autor detrás de este malware sería TeamPCP, el mismo que rompió el escáner de vulnerabilidades Trivy de Aqua Security el 19 de marzo y la función GitHub KICS el 23 de marzo.

Microsoft confirma que Windows 11 es seguro.
Microsoft afirma que Windows 11 ya no tiene problemas conocidos

Un robo de datos en tres pasos

El código de las versiones infectadas es muy similar al del ataque a Trivy apenas unos días atrás. El malware de LiteLLM funciona en tres etapas para recopilar todos los datos de los usuarios.

Los hackers primero recopilan todos los datos de interés con claves, contraseñas de bases de datos, historial, archivos en la nube e inicios de sesión. A continuación, cifran la información robada con una clave RSA de 4096 bits y AES-256-CBC, empaquetan el archivo y lo envían a models.litellm[.]cloud, un dominio que imita a LiteLLM.

El último paso es crear un acceso permanente con un servidor desde el que obtener actualizaciones de las cargas útiles. Si utilizas LiteLLM, tu PC podría estar en peligro.

Más información sobre: