LiteLLM、サプライチェーン攻撃でマルウェア混入　PyPIから削除

LiteLLMにおけるサプライチェーン攻撃

オープンソースプロジェクト「LiteLLM」において、マルウェアが混入したことが確認され、Python Package Index（PyPI）から該当バージョンが削除された。本件はサプライチェーン攻撃の一環とみられ、認証情報を窃取するコードが挿入されていた。

影響を受けたのはLiteLLM v1.82.7およびv1.82.8で、いずれも「litellm_init.pth」ファイルを通じて不正コードが読み込まれる仕組みとなっていた。Berri AIのCEOであるKrrish Dholakia氏は、本件についてCI/CDパイプラインにおけるTrivyの設定ミスが原因との見解を示している。

Trivyの誤設定と攻撃手法

TrivyはAqua Securityが提供するオープンソースの脆弱性スキャナーで、多くのプロジェクトでセキュリティ対策として利用されている。しかし本件では、GitHub Actions環境における設定不備が悪用された。

攻撃者は当該環境から権限を持つアクセストークンを窃取し、CI/CDパイプラインの操作に悪用したとみられる。TeamPCPとされる攻撃者は、3月19日および22日に改ざんされたTrivyのリリースをDocker Hub上のイメージとして公開し、攻撃を展開した。

マルウェアの挙動

当該マルウェアは二重のBase64エンコードにより難読化されており、システム情報や環境変数、SSHキー、クラウド認証情報などの機密データを収集し、暗号化した上で外部サーバーへ送信する機能を備えている。

また、本コードはPythonインタプリタ起動時に自動実行されるよう「.pth」ファイルに組み込まれており、ユーザー操作を介さず実行される仕組みとなっている。

対応と推奨される対策

本件を受け、Python Packaging Authority（PyPA）はLiteLLMの侵害に関するセキュリティ勧告を公表した。対象バージョンをインストールしたユーザーに対し、漏洩の可能性がある認証情報の無効化および更新が求められている。

また、Berri AIはPyPIへの公開に用いる認証情報やCI/CDパイプラインのセキュリティ強化を推奨している。今後は、信頼性の高い認証トークンの利用や、継続的なセキュリティチェックの実施など、運用面を含めた対策の強化が必要とされる。