Il cavallo di Troia di Python: l’audace hack della supply chain di TeamPCP infetta 95 milioni di utenti LiteLLM
Sottotitolo: Un gruppo d’élite di cybercriminali arma una libreria AI fidata, esponendo sviluppatori e aziende in un attacco esteso e multi‑fase.
Tutto è iniziato con un debole segnale sui radar della cybersecurity: una libreria Python affidabile, LiteLLM, sabotata silenziosamente in piena vista. Nel giro di poche ore, oltre 95 milioni di download mensili sono diventati potenziali canali per una sofisticata campagna malware. Il colpevole? TeamPCP, un famigerato collettivo di hacker già collegato a recenti violazioni ai danni di importanti vendor di sicurezza. Questa è l’anatomia di un incubo moderno della supply chain-uno che rivela quanto sia davvero vulnerabile l’ecosistema del software open source.
Dentro l’attacco: come TeamPCP ha dirottato la supply chain del software
LiteLLM, uno strumento open source progettato per unificare l’accesso alle API dei più diffusi large language model (LLM), è un punto fermo per gli sviluppatori AI. Ma a fine marzo 2026, le versioni 1.82.7 e 1.82.8 sul Python Package Index (PyPI) sono state avvelenate in silenzio. A differenza di malware grossolani, la mano di TeamPCP era sottile e tecnicamente esperta.
Nella versione 1.82.7, gli attaccanti hanno inserito 12 righe di codice codificato in base64 in un file core. Questo codice ha aggirato i controlli tradizionali scrivendo il payload in un file temporaneo ed eseguendolo tramite un subprocess. Ma la versione 1.82.8 era ancora più insidiosa: un file litellm_init.pth canaglia attivava automaticamente il malware ogni volta che veniva eseguito qualsiasi script Python, indipendentemente dal fatto che LiteLLM fosse importato. Ciò significava che milioni di sistemi potevano essere infettati semplicemente installando il pacchetto compromesso.
Una volta attivato, il malware scatenava un assalto in tre fasi:
- Orchestratore: decifra e impacchetta i dati rubati, quindi li esfiltra verso un sito di progetto fasullo controllato da TeamPCP.
- Raccolta credenziali & movimento laterale: setaccia i sistemi alla ricerca di token cloud, chiavi SSH, segreti CI/CD-arrivando persino a distribuire pod Kubernetes ad alti privilegi per impadronirsi di interi cluster.
- Backdoor persistente: installa un servizio systemd furtivo che si maschera da processo PostgreSQL, mantenendo il contatto con un server di comando remoto e in attesa di nuove istruzioni.
La velocità e la sofisticazione dell’hack sono agghiaccianti. TeamPCP ha rilasciato le due versioni avvelenate a soli 13 minuti di distanza, dimostrando un’iterazione in tempo reale del loro attacco. I loro bersagli sono strategici: strumenti per sviluppatori e prodotti di sicurezza, che spesso detengono le chiavi dell’infrastruttura di produzione. Violandone uno, possono fare un balzo in avanti dentro intere reti.
I team di sicurezza stanno ora correndo per contenere le conseguenze. Le versioni malevole sono state rimosse da PyPI, ma l’incidente mette a nudo la fragilità della fiducia nel software open source. Alle organizzazioni viene consigliato di tornare alla versione 1.82.6, eseguire scansioni alla ricerca di segnali rivelatori come servizi di sistema sospetti e archivi dati non autorizzati, e bloccare ai perimetri i domini noti degli attaccanti.
Conclusione: quando la fiducia è l’anello più debole
La compromissione di LiteLLM è un campanello d’allarme: anche gli strumenti open source più rinomati possono diventare vettori d’attacco da un giorno all’altro. Mentre la campagna di TeamPCP si diffonde tra le piattaforme, è chiaro che difendere la supply chain del software richiede vigilanza, risposta rapida e un rinnovato scrutinio di ogni dipendenza. Nel mondo interconnesso dello sviluppo moderno, la fiducia va guadagnata-e verificata costantemente.
WIKICROOK
- PyPI: PyPI è il principale repository online per i pacchetti software Python, consentendo agli sviluppatori di condividere, scaricare e gestire facilmente codice Python.
- file .pth: i file .pth configurano gli ambienti Python e possono eseguire codice all’avvio dell’interprete, cosa che può essere abusata per la persistenza se non adeguatamente protetta.
- Attacco alla supply chain: un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
- Kubernetes: Kubernetes è un software open source che automatizza il deployment, lo scaling e la gestione delle applicazioni, rendendo più semplice per le aziende eseguire sistemi in modo affidabile.
- Command and Control (C2): il Command and Control (C2) è il sistema che gli hacker usano per controllare da remoto i dispositivi infetti e coordinare cyberattacchi malevoli.




