brunocosta 🇾🇪

O movimento de troca no comando técnico do São Paulo é justa e precisa acontecer. O clube implodiu e vive sob pressão única e exclusivamente por medidas internas. Mas Roger Machado não pode se despedir sozinho. Publicamente, Rui Costa diz que a decisão de demitir Hernán Crespo e contratar o atual treinador foi conjunta, mas é mentira. Tem só uma assinatura. Por ego, quis uma comissão "sua" como o primeiro ato no cargo em que sempre almejou. Além de ter cometido tal erro, nunca se pronunciou ou apareceu para defender quem trouxe. Fosse em uma guerra, teria corrido e deixado seu soldado baleado. Roger Machado tem culpa pelo campo, mas, fora dele, a ferida é muito maior e não será curada com Rui Costa dentro da Barra Funda. Se assumiu riscos, que arque com as consequências.

🚨 ISSO É MUITO, MUITO GRAVE O pior pesadelo da indústria de software acabou de acontecer. Alguém envenenou o LiteLLM no PyPI. 97 milhões de downloads por mês. Um simples "pip install" roubava TUDO da sua máquina. Chaves SSH. Credenciais AWS/GCP/Azure. Kubernetes configs. Wallets de crypto. Senhas de banco de dados. Variáveis de ambiente. Tudo. Mas a parte mais assustadora não é essa. O malware usa um arquivo .pth que executa automaticamente em TODO processo Python. Você nem precisa importar a biblioteca. Basta ter instalado. Cada script Python na máquina ativava o payload. Mas aqui está o detalhe que deveria tirar seu sono: O LiteLLM existe pra uma coisa: ser o gateway único entre seu código e todos os provedores de IA. OpenAI, Anthropic, Google, dezenas de outros. Por definição, o ambiente onde ele roda concentra TODAS as suas API keys de LLM num lugar só. O atacante não escolheu um pacote qualquer. Escolheu o único que já nasce com acesso a cada chave de cada provedor da sua organização. Targeting cirúrgico. E o pior: o ataque só foi descoberto porque o atacante escreveu código ruim. Vibe coding nos salvou. Dessa vez. O padrão que ninguém quer reconhecer: → 19 de março: TeamPCP compromete o Trivy (scanner de vulnerabilidades da Aqua Security) → 23 de março: Checkmarx KICS comprometido → 24 de março: LiteLLM envenenado via pipeline CI/CD do próprio Trivy → Credenciais roubadas alimentam o próximo ataque O que a Wiz chamou de "loop": ferramenta de segurança comprometida → pacote popular comprometido → credenciais de dezenas de milhares de ambientes nas mãos do atacante → próximo alvo. A mensagem do TeamPCP no Telegram: "Essas empresas foram feitas pra proteger suas supply chains e não conseguem proteger nem as delas." Karpathy resumiu perfeitamente: cada vez que você instala qualquer pacote, está confiando em cada dependência na árvore inteira. E qualquer uma pode estar envenenada. A engenharia de software clássica ensina que dependências são boas. Que estamos construindo pirâmides com tijolos. Essa era acabou. O próximo ataque não vai ter um bug que crasha a máquina pra te avisar.