人気AIライブラリ「LiteLLM」がサプライチェーン攻撃に悪用される

複数の大規模言語モデル(LLM)プロバイダーへのアクセスを統一APIで提供するオープンソースPythonライブラリ「LiteLLM」が、悪意あるサプライチェーン攻撃の標的となったことが明らかになった。セキュリティ企業Endor Labsの調査により、ハッカー集団「TeamPCP」がPyPI上に悪意あるバージョンを公開し、インフォスティーラー(情報窃取型マルウェア)を配布していたことが確認されている。

LiteLLMは1日あたり340万回以上、過去1か月で9,500万回以上ダウンロードされている非常に人気の高いパッケージだ。AIアプリケーション開発者の間で広く使われており、その普及度の高さが今回の攻撃の被害規模に直結した。

何が起きたのか

攻撃者はLiteLLMのバージョン1.82.7および1.82.8に悪意あるコードを埋め込み、PyPIへ公開した。問題のコードは litellm/proxy/proxy_server.py にBase64エンコードされたペイロードとして挿入されており、パッケージをインポートするだけで自動実行される仕組みになっていた。

さらに悪質なのがバージョン1.82.8で、Pythonインタープリタが起動するたびに自動読み込みされる .pth ファイルを環境にインストールする機能が追加されていた。これにより、LiteLLMを直接使用していない場合でもマルウェアが実行されるという。

盗まれた情報の範囲

Endor Labsの分析によれば、攻撃は3段階で実行される:

  • 認証情報の収集: SSHキー、AWSやGCP・Azureのクラウド認証情報、Kubernetesのサービスアカウントトークン、.env ファイル、データベース認証情報、TLSプライベートキー、CI/CDシークレット、暗号資産ウォレットなど幅広い情報が対象となる
  • 横展開(ラテラルムーブメント): Kubernetesクラスタ内で特権ポッドを展開し、全ノードへの侵害を試みる
  • 永続化: systemd ユーザーサービスとして偽装したバックドアをインストールし、checkmarx[.]zone という攻撃者管理のドメインへ定期的に接続して追加ペイロードを受信・実行する

窃取データは tpcp.tar.gz という暗号化アーカイブにまとめられ、攻撃者のインフラに送信される。

TeamPCPとは

TeamPCPはサプライチェーン攻撃を繰り返しているハッカー集団で、最近ではセキュリティツール「Trivy」(Aqua Security社)の侵害を引き起こし、Aqua SecurityのDockerイメージやCheckmarxのKICSプロジェクトへの連鎖的な侵害にもつながったとされている。同グループはKubernetesクラスタを標的に、イランと判定されたシステムに対してはマシンを完全にワイプするスクリプトを展開するなど、破壊的な活動も確認されている。

被害規模について、同グループは約50万件のデータ窃取を主張しており、マルウェアリポジトリのVX-Undergroundも同様の数字を報告しているが、現時点でBleepingComputerによる独立した検証はされていない(重複分を多数含む可能性がある)。

日本の開発者への影響と対策

LiteLLMは日本国内でもAI開発の現場で広く利用されているライブラリだ。バージョン1.82.7または1.82.8を使用していた場合は、早急に以下の対応を取ることが推奨される:

  • 該当バージョンを即時アンインストールし、安全なバージョンへアップグレードする
  • SSHキー、AWSアクセスキー、その他のクラウド認証情報をローテーション(再発行)する
  • Kubernetes環境で不審なポッドや systemd サービスが作成されていないか確認する
  • .env ファイルや CI/CD シークレットに不正アクセスの痕跡がないかログを確認する

オープンソースパッケージのサプライチェーン攻撃は近年急増しており、依存ライブラリのバージョン管理と監査の重要性が改めて問われている。

元記事: Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens