Le groupe de pirates TeamPCP continue de faire parler de lui, et cette fois-ci, c’est le paquet Python LiteLLM qui a été compromis ! Les pirates affirment avoir volé des données sur des milliers de machines suite à la diffusion d’une version malveillante. Voici ce que l’on sait.

TeamPCP, c’est le groupe de cybercriminels qui fait énormément parler de lui ces dernières semaines. Pourquoi ? Tout simplement parce qu’ils sont à l’origine de la compromission de Trivy, le scanner de vulnérabilités open source. Une attaque de grande ampleur sur la chaine d’approvisionnement logicielle, avec à la clé un impact fort : un infostealer injecté dans le code, des versions malveillantes publiées sur Docker Hub, etc…

• 02/03/2026 – HackerBot Claw : le bot IA autonome qui a fait disparaître Trivy de GitHub
• 20/03/2026 – Le scanner Trivy piraté une seconde fois : attention au vol de secrets
• 24/03/2026 – L’attaque contre Trivy s’étend jusqu’au Docker Hub : attention aux malwares

Concernant LiteLLM, il s’agit d’une bibliothèque Python open source qui permet de jouer le rôle de passerelle/proxy entre un utilisateur et plusieurs LLM, grâce à son API (probablement le même principe qu’avec OpenRouter, mais en local). Ce paquet est très populaire : il est téléchargé plus de 3 millions de fois par jour, soit un total de 95 millions de téléchargements sur les 30 derniers jours.

Un nouveau rapport publié par les chercheurs de chez Endor Labs évoque la compromission de cette bibliothèque Python par le groupe de pirates TeamPCP.

“TeamPCP s’est récemment intéressé à des outils liés à la sécurité, notamment Trivy d’Aqua Security, un scanner de vulnérabilités, et KICS de Checkmarx, un analyseur d’infrastructure IaC, et désormais un proxy LLM. Ces outils fonctionnent dans des environnements susceptibles de contenir des identifiants précieux et d’autres informations confidentielles ; leur compromission permet donc à l’attaquant d’obtenir un accès étendu.”, précisent les chercheurs.

LiteLLM : des versions malveillantes publiées par TeamPCP

Endor Labs évoque la publication de deux versions malveillantes de LiteLLM : 1.82.7 et 1.82.8. Ces deux versions ont un point commun : elles intègrent un fichier correspondant à une porte dérobée. Elles ont également été publiées le même jour : le 24 mars 2026.

L’objectif des pirates serait de mettre la main sur des identifiants et des informations sensibles dans le but de les exfiltrer vers un serveur externe. Lorsqu’un appareil est infecté, une attaque en trois étapes est déclenchée :

• Récupération des identifiants : clés SSH, jetons cloud, secrets Kubernetes, portefeuilles cryptographiques, fichiers système (comme ) et fichiers , ou encore l’historique du shell.
• Propagation vers d’autres ressources, par l’intermédiaire des clusters Kubernetes via le déploiement de pods privilégiés sur chaque nœud.
• Installation d’une porte dérobée persistante via systemd.

Les données sensibles identifiées sont chiffrées puis envoyées vers un serveur contrôlé par les attaquants.

Si Endor Labs a attribué cette attaque au groupe TeamPCP, ce n’est pas un hasard. Il y a de nombreux indicateurs correspondants entre cette attaque et celles ayant ciblé Trivy et KICS : domaine C2, nom du script pour la persistance, la commande kill switch, le nom de l’archive exfiltrée, etc….

Comment se protéger ?

La dernière version clean de LiteLLM est la 1.82.6. Si vous avez utilisé l’une des versions infectées (désormais supprimées de PyPi), vous devez impérativement exécuter les trois actions suivantes :

• Nettoyez votre machine : suppression de la version malveillante, rechercher des signes d’artefacts destinés à la persistance, et si vous utilisez Kubernetes, vérifiez les éventuels Pods déployés par les attaquants.
• Révisez vos pipelines CI/CD : TeamPCP a été jusqu’à compromettre l’environnement GitHub Actions de Trivy.
• Effectuez une rotation de tous les secrets configurés sur l’hôte : clés SSH, clés d’API, etc…. pour vous protéger contre une fuite éventuelle.

Vous pourrez trouver des détails techniques pour vous accompagner dans cette démarche en consultant le rapport d’Endor Labs.

TeamPCP fait très mal en ce moment. En à peine un mois, c’est déjà la 5ème attaque sur une chaîne d’approvisionnement logicielle. Il y a des chances pour que ce ne soit pas terminé, puisqu’à chaque fois une attaque donne les clés pour attaquer la prochaine victime.