LiteLLMがサプライチェーン攻撃で侵害——月間ダウンロード9,500万件に影響のおそれ
LLMとのやり取りに最も広く利用されているPythonライブラリの一つであるLiteLLM(GitHubスター数4万超、PyPI月間ダウンロード数9,500万)がサプライチェーン攻撃により侵害された。2026年3月24日にPyPIへプッシュされたバージョン1.82.7および1.82.8には、Pythonプロセスの起動時に自動実行される悪意のある.pthファイルが含まれている。インポートは不要だ。
この攻撃はTeamPCPによるものとされている。同グループはTrivy脆弱性スキャナーの侵害(3月19日)およびCheckmarx KICS GitHub Actionへの攻撃(3月23日)の背後にいる脅威アクターである。ペイロードには、AES-256/RSA-4096暗号化でC2サーバーへシークレットを流出させる大量クレデンシャルハーベスター、systemdサービスとして登録される永続化バックドア、全ノードに特権Podをデプロイ可能なKubernetes横展開機能が含まれている。
これがエージェントエコシステムにとって致命的なのは、LiteLLMが増え続けるAIエージェントフレームワーク、MCPサーバー、LLMオーケストレーションツールの推移的依存関係となっているためだ。LiteLLMを明示的にインストールしていない開発者でも、他のパッケージ経由で取り込んでいる可能性がある。この事件はHacker Newsで数時間以内に317ポイントに達した。
AIエージェントインフラを構築しているチームは、直ちに依存関係を監査し、安全が確認されたバージョンにピン留めすべきである。この事件は、AIエージェントツールチェーンが深く相互接続される中で拡大する攻撃面を浮き彫りにしている。
GitHub Advisory:https://github.com/BerriAI/litellm/issues/9602
← すべての記事に戻る
この攻撃はTeamPCPによるものとされている。同グループはTrivy脆弱性スキャナーの侵害(3月19日)およびCheckmarx KICS GitHub Actionへの攻撃(3月23日)の背後にいる脅威アクターである。ペイロードには、AES-256/RSA-4096暗号化でC2サーバーへシークレットを流出させる大量クレデンシャルハーベスター、systemdサービスとして登録される永続化バックドア、全ノードに特権Podをデプロイ可能なKubernetes横展開機能が含まれている。
これがエージェントエコシステムにとって致命的なのは、LiteLLMが増え続けるAIエージェントフレームワーク、MCPサーバー、LLMオーケストレーションツールの推移的依存関係となっているためだ。LiteLLMを明示的にインストールしていない開発者でも、他のパッケージ経由で取り込んでいる可能性がある。この事件はHacker Newsで数時間以内に317ポイントに達した。
AIエージェントインフラを構築しているチームは、直ちに依存関係を監査し、安全が確認されたバージョンにピン留めすべきである。この事件は、AIエージェントツールチェーンが深く相互接続される中で拡大する攻撃面を浮き彫りにしている。
GitHub Advisory:https://github.com/BerriAI/litellm/issues/9602
Comments