2026年3月24日、AI開発者たちがまだコードを叩いている中、PyPI上のLiteLLMがひそかに「毒を盛られた」。月間ダウンロード数が9700万回にも達するPythonのオープンソースライブラリLiteLLMのPyPIリポジトリが、未明に悪意を持って改ざんされ、2つの汚染されたバージョン(1.82.7、1.82.8)がひっそりと公開された。わずか3時間以内に、数万の開発環境と企業システムがデータ漏洩のリスクにさらされる可能性があった。通常の攻撃とは異なり、今回の事件は孤立した悪意のある注入ではなく、ハッカー組織TeamPCPが周到に計画した連鎖攻撃だった。
慢霧(SlowMist)が独自に開発したWeb3脅威インテリジェンスと動的セキュリティ監視ツールMistEyeも、いち早く関連する顧客に脅威インテリジェンスの警告をプッシュした。
今回のLiteLLM攻撃の源は、ライブラリ自体に脆弱性があったのではなく、そのCI/CDパイプラインで使用されていたオープンソースのセキュリティスキャナTrivyがすでに攻撃されていたことにある。攻撃の時間軸を遡ると、3月19日にTeamPCPがTrivyのGitHub Actionタグを改ざんし、悪意のあるコードを埋め込んだ。3月23日、攻撃者はCheckmarx KICSセキュリティスキャンツールに侵入し、次の攻撃への道を開いた。3月24日、LiteLLMのCI/CDパイプラインが汚染されたTrivyを実行した際、PyPIの公開トークンが盗まれ、攻撃者はこれを利用して通常の公開プロセスを迂回し、2つの悪意のあるバージョンを直接PyPIにプッシュし、AIの中核となる依存ライブラリへの「毒盛り」を完了させた。
この攻撃の暴露は非常に劇的だった。攻撃者はもともと静かに潜伏するつもりだったが、悪意のあるコードを書く際にミスを犯した。1.82.8バージョンに埋め込まれたlitellm_init.pthファイルは、Pythonプロセスが起動するたびに自動的に実行され、子プロセスを通じて繰り返し自身をトリガーし、FutureSearchのエンジニアのテストマシンのメモリを使い果たし、クラッシュさせた。まさにこの予期せぬ脆弱性によって、数日、あるいは数週間も潜伏する可能性があった攻撃が早期に露呈し、そうでなければ想像を絶する結果になっていただろう。
TeamPCPがLiteLLMのために設計した悪意のあるコードは、段階的に実行する戦略を採用しており、隠蔽性が高く、破壊範囲が広く、永続化と水平拡散の能力を備えており、通常のサプライチェーン攻撃の危険度をはるかに超えている。第一段階は情報収集で、悪意のあるスクリプトは感染したホストのすべての機密データを体系的にスキャンし、その範囲は非常に広い。開発者のSSH秘密鍵、Git設定、shellの履歴から、企業のクラウドサービスプロバイダ(AWS/GCP/Azure)の認証情報、Kubernetes設定、データベースのパスワード、さらには暗号通貨ウォレットファイル、ニーモニックなどまで網羅している。注目すべきは、LiteLLMは各種大規模言語モデルAPIを統一的に呼び出すゲートウェイとして、複数のモデルプロバイダのキーを保存していることが多く、一旦攻撃されると、企業のAIインフラ全体への扉を攻撃者に直接開くことになる。
第二段階は暗号化漏洩で、収集されたすべてのデータはAES-256-CBCアルゴリズムで暗号化され、4096ビットのRSA公開鍵でセッションキーを保護し、tarアーカイブファイルにパッケージ化された後、攻撃者が管理する偽のドメインmodels.litellm.cloudに送信される。このドメインは攻撃の前日に登録されたもので、LiteLLMの公式インフラとは全く関係がなく、非常に紛らわしい。開示によると、攻撃者は今回の攻撃を通じて約300GBの圧縮された認証情報を盗み、50万件の機密認証情報が関与している。
第三段階は永続化と水平移動で、これが今回の攻撃で最も危険な後遺症の源となっている。ローカルマシン上では、悪意のあるコードはユーザーディレクトリにバックドアスクリプトsysmon.pyを作成し、systemdサービスを通じて自動起動を実現する。LiteLLMをアンインストールしても、バックドアは継続的に実行される可能性がある。Kubernetes環境が検出された場合、攻撃者はサービスアカウントトークンを利用して、クラスタのすべてのノードに特権Podをデプロイし、ネットワーク全体に拡散させ、単一ホストの感染をクラスタ全体のセキュリティ危機に変える。攻撃者はまた、悪意のあるボットで画面を埋め尽くしたり、メンテナのアカウントを盗用してGitHub issueを閉じたりするなどして、攻撃の痕跡を隠蔽しようとした。
現在、PyPIは感染したバージョンを回収し、隔離エリアも解除された。LiteLLMのメンテナは事後処理に取り組んでいるが、この攻撃が残した後遺症はまだ解消されていない。まず、永続化されたバックドアのクリーンアップという難題がある。一部のユーザーはLiteLLMをアンインストールするだけでリスクが解消されたと考えるかもしれないが、バックドアはまだバックグラウンドでデータを収集していることを知らない。次に、認証情報漏洩の連鎖反応がある。50万件の盗まれた認証情報は「ドミノ効果」を引き起こす可能性がある。最後に、依存関係チェーンの拡散リスクがある。LiteLLMはDSPy、MLflow、Open Interpreterなど2000以上のパッケージから参照されており、多くの開発者が他のツールを使用することで間接的に悪意のあるバージョンを導入している。
LiteLLM攻撃は、Trust Walletのセキュリティ事件を想起させる。今回のLiteLLM攻撃では、暗号通貨ウォレットファイル、ニーモニックも窃取範囲に含まれており、攻撃者は長期的な潜伏と水平拡散の能力を備えている。実際、TeamPCP組織は以前、セキュリティベンダーを「自社のサプライチェーンさえ保護できない」と公然と嘲笑し、商業機密を長期的に窃取する計画を宣言しており、今回のLiteLLM攻撃はその組織的なオープンソースエコシステムへの侵入の一環に過ぎない。
今回の攻撃とその余波に対し、個人開発者であろうと企業であろうと、直ちに行動を起こす必要がある。1. 感染状況を直ちに調査し、1.82.7または1.82.8バージョンの場合は直ちにアンインストールし、キャッシュをクリアする。2. SSHキー、クラウドサービスプロバイダの認証情報、データベースのパスワード、APIキー、特に暗号通貨ウォレットの秘密鍵、ニーモニックなど、機密認証情報を全面的にローテーションする。3. 依存関係の管理を規範化し、LiteLLMを1.82.6以下の安全なバージョンにロックすると同時に、CI/CDパイプラインのセキュリティを強化する。
LiteLLMのサプライチェーン攻撃は、オープンソースエコシステムの脆弱性を明らかにしただけでなく、AIが急速に発展している今日、中核となる依存ライブラリのセキュリティがエコシステム全体の安定に直接関係していることを私たちに思い出させている。サプライチェーンのセキュリティを正視し、速やかに潜在的なリスクを調査し、保護システムを改善することによってのみ、同様の重大な損失を回避し、自身のデータと資産の安全を守ることができる。
[慢霧科技]
LiteLLMサプライチェーン攻撃:暗号化インフラセキュリティへの警告
最近のLiteLLMサプライチェーン攻撃は、最近のオープンソースの歴史における最も洗練され、広範囲にわたるセキュリティ侵害の一つであり、特に暗号通貨とブロックチェーンエコシステムに懸念すべき影響を及ぼしています。当初は標準的なソフトウェアサプライチェーンの侵害として見られましたが、この事件は暗号ウォレットの資格情報とAPIキーを明確的に標的とする多段階攻撃であることを明らかにし、デジタル資産全体の景観に系統的なリスクをもたらしています。
攻撃メカニズムと暗号固有の脅威
TeamPCPによるLiteLLMへの攻撃は、単なる機会主義的なものではなく、高価値のデジタル資産を戦略的に標的としたものです。この攻撃は月間9700万回のダウンロード数を持つライブラリを侵害しました—事実上、無数のAIおよび機械学習アプリケーションの重要な依存関係を毒したことになります。この事件が暗号投資家にとって特に警鐘を鳴らす点は、攻撃者が暗号ウォレットファイル、ニーモニックフレーズ、および各LLMプロバイダーのAPIキーを明確に標的としていたことです。
三段階の実行戦略は、洗練された脅威インテリジェンスを示しています:SSHキー、クラウド資格情報、暗号ウォレットを含む情報収集;堅牢な暗号化(AES-256-CBCと4096ビットRSAを使用)を使用した暗号化されたデータ流出;そして、初期の侵害が発見された後でも継続的なアクセスを確保する持続メカニズム。暗号プロジェクトとホルダーにとって、これは攻撃者がウォレットの資格情報だけでなく、複数のプロジェクトにわたる秘密鍵の侵害につながり得る開発環境へのアクセスも得た可能性があることを意味します。
市場への影響とトークンへの含意
攻撃が最近のものであることを考えると、即時的な市場の影響はまだ完全には明らかではないかもしれません。しかし、経験豊富な投資家はいくつかの潜在的なシナリオに備えるべきです。
まず、開発チームまたはインフラが影響を受けた可能性のあるプロジェクトのトークンに対して、ボラティリティの増加を見込んでいます。50万件以上の盗まれた資格情報は、ウォレットドレイナーの悪用、取引所アカウントの侵害、または侵害されたエンティティを標的とした洗練されたフィッシングキャンペーンとして現れる可能性のある二次攻撃ベクターを創出します。
第二に、この事件は、確立されたインフラでさえも脆さがあることを強調しており、潜在的に分散型代替へのシフトを加速させる可能性があります。分散型開発環境、安全なキー管理ソリューション、検証可能なビルドプロセスを強調するプロジェクトは、増加する投資家の注目と資金流入の恩恵を受ける可能性があります。
暗号投資家にとっての戦略的リスク
暗号投資家にとって、LiteLLM攻撃は即時的な注意を必要とするいくつかの重要なリスクをもたらします:
-
カウンターパーティーリスク:LiteLLMまたはその依存関係を使用したプロジェクトや取引所は、資格情報が侵害されており、それがセキュリティ姿勢に影響を与え、資産の盗難リスクを増加させる可能性があります。
-
開発インフラの侵害:多くの暗号開発チームは同様のCI/CDパイプラインと依存関係管理システムに依存しています。この攻撃は、暗号インフラを標的とするより広範なキャンペーンにおける単一のベクターを表している可能性があります。
-
サプライチェーンの連鎖的影響:LiteLLMはDSPy、MLflow、Open Interpreterを含む2000以上のパッケージから参照されており、その影響は、依存関係を介して間接的に影響を受ける多数の暗号プロジェクトとプロトコルに及ぶ可能性があります。
-
長期的な潜伏脅威:TeamPCPが示した長期的な持続能力は、侵害されたシステム内で潜伏し、市場条件が彼らの目的にとって最も有利な戦略的な瞬間に続攻を実行する可能性があることを示唆しています。
危機における投資機会
攻撃は重大なリスクをもたらす一方で、変化するセキュリティの景観を認識する投資家にとっては魅力的な機会も創出しています:
-
セキュリティインフラプロジェクト:分散型ID、多当事者計算(MPC)ウォレット、検証可能なソフトウェアサプライチェーンに焦点を当てたソリューションは、業界がこれらの脅威に対応するにつれて需要の増加が見込まれるでしょう。
-
監査と検証サービス:堅牢なセキュリティ監査、依存関係スキャン、継続的検証を強調する暗号プロジェクトは競争優位性を獲得し、これらのサービスを提供する組織にとってトークンの価値上昇につながる可能性があります。
-
分散型開発プラットフォーム:中央集権型開発環境とパッケージリポジトリの限界は、より大きな透明性とセキュリティ保証を提供する分散型代替の採用を推進する可能性があります。
-
インシデント対応とフォレンジック:組織が自社への露出を評価するために必死になっている中、ブロックチェーンフォレンジックとインシデント対応サービスの提供者は需要の増加を経験し、専門のセキュリティトークンにおける投資機会を創出する可能性があります。
暗号投資家のための防衛戦略
経験豊富な投資家は即時的な防衛的な措置を講じるべきです:
-
露出の評価:LiteLLMまたはその依存関係を使用した可能性のあるすべての開発環境、システム、ツールをレビューしてください。他のパッケージを介した間接的な使用でさえ潜在的な脆弱性を作り出します。
-
資格情報のローテーション:すべての機密資格情報、特に暗号ウォレット、取引所、開発環境に関連する資格情報を直ちにローテーションしてください。キー管理のためにハードウェアセキュリティモジュールまたはエアギャップシステムの使用を検討してください。
-
依存関係の監査:すべての依存関係を安全なバージョンに固定し、より厳格な依存関係管理の実践を実装してください。重要なパッケージの分散型検証メカニズムの使用を検討してください。
-
インフラの強化:CI/CDパイプラインと開発インフラで同様の脆弱性をレビューしてください。すべてのサードパーティツールとサービスに対してより厳格な検証手順を実装してください。
LiteLLM攻撃は、ますます相互接続されたデジタルエコシステムにおいて、セキュリティはその最も弱いリンクと同程度に強いに過ぎないという、厳しい現実を思い出させてくれます。暗号投資家にとって、この事件は、洗練されたサプライチェーン攻撃によってもたらされる重大なリスクと、私たちが現在依存している脆弱な中央集権型インフラに対してより堅牢で分散型の代替を構築する上での新たな機会の両方を浮き彫りにしています。