Versões 1.82.7 e 1.82.8 do LiteLLM no PyPI foram publicadas com código malicioso em 24 de março, através de uma conta de mantenedor comprometida como parte da campanha TeamPCP. O pacote, com aproximadamente 95 milhões de downloads mensais, serve como gateway universal de API para mais de 100 provedores de LLM e é dependência de frameworks importantes como DSPy e CrewAI.

O malware usava um arquivo .pth que se auto-executava em cada invocação do Python — sem necessidade de import — roubando variáveis de ambiente, chaves SSH privadas, credenciais de nuvem (AWS, GCP, Azure, Kubernetes), configurações git, histórico de shell e arquivos de carteiras cripto. O ataque foi descoberto por acidente quando um bug no próprio malware disparou um fork bomb exponencial que estourou a RAM de um desenvolvedor. O PyPI quarentenou o pacote e o LiteLLM pausou novos releases até completar uma revisão de supply chain.