人気のAIモデル管理ライブラリLiteLLMにサプライチェーン攻撃 Trivy侵害と同じ攻撃グループの犯行

AI管理ライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェアを含むバージョンが配布された。LiteLLMは100以上のLLMに単一インタフェースでアクセスできる人気のライブラリ。目的はクレTrivyの侵害と同様にクレデンシャル窃取だった。

[三木泉，＠IT]

　AI管理ライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェアが仕込まれたバージョンが配布された。2026年3月24日に起こったこのインシデントは、3月19日に発生したTrivyの侵害と同じ攻撃グループ、TeamPCPによるものだという。

　LiteLLMはさまざまなLLM（大規模言語モデル） APIへのアクセスを1つのインタフェースで提供するPythonライブラリ。コードをほとんど変更することなく、LLMの切り替えができる。

　このインシデントでは、LiteLLMのPython公式パッケージリポジトリ（PyPI）のメンテナーアカウントが乗っ取られ、不正バージョン「1.82.7」「1.82.8」が公開された。

　目的はTrivyのケースと同じ。SSHキーやAIキー、クラウドサービスのアクセスキーなどのクレデンシャル（認証情報）を盗み出すことだ。これらの情報を収集し、暗号化して攻撃者のサーバへ送信するようになっていた。

　現在、不正バージョンはPyPI上から既に削除されておりダウンロードできない状態ですが、該当バージョンをインストールしてしまったユーザーには、環境変数や設定ファイルにある全ての認証情報の更新が強く推奨されている。

　事の発端は、Trivyに対する侵害だった。これにより、CI/CD（継続的インテグレーション/継続的デリバリー）のシークレット情報が窃取され、連鎖的なサプライチェーン攻撃につながっていったとされる。

　今回の攻撃を発見したFutureResearchは、横展開と永続化の試みが見られると報告している。

　「Kubernetesのサービスアカウントトークンが存在する場合、マルウェアは全てのnamespaceからクラスター内の全てのシークレットを読み取る。。そして、kube-system namespace上の全ノードに対して、特権を持たせたalpine:latestの特権Podを作成しようとする。作成された各Podはホストマシンのファイルシステムをマウントし、systemdユーザーサービスを利用して/root/.config/sysmon/sysmon.pyに永続的なバックドアをインストール。ローカルマシン上においても、~/.config/sysmon/sysmon.pyを通じて同様な永続化（バックドアの設置）を試みる」