世界を動かす技術を、日本語で。

LiteLLM Pythonパッケージがサプライチェーン攻撃により侵害される

2026年3月24日原文(github.com)

概要

  • litellm==1.82.8 のPyPIホイールパッケージに 悪意ある.pthファイル が含まれる
  • Python起動時に 資格情報窃取スクリプト が自動実行される
  • 多様な機密情報 を収集し、外部サーバーへ送信
  • 全環境(開発・CI/CD・本番) が影響対象
  • 即時対応・認証情報のローテーション が推奨

litellm==1.82.8におけるサプライチェーン攻撃の概要

  • PyPI公開の litellm==1.82.8 ホイールパッケージに、 litellm_init.pth (34,628バイト)が含まれる

  • .pthファイル はPythonインタープリタ起動時に自動実行され、 import litellm は不要

  • RECORDファイル に悪意ある.pthファイルが明記されている

  • pip download litellm==1.82.8 --no-deps で再現可能

    • litellm_init.pth 内に次のような記述
      • import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"])

悪意ある挙動の詳細解析

  • ペイロードは二重base64エンコード で秘匿化

  • デコード後の動作は以下の通り

    • ステージ1: 情報収集

      • システム情報取得(hostname, whoami, uname -a, ip addr, ip route)
      • 環境変数(printenv):APIキーやシークレット含む
      • SSH鍵・設定ファイル(~/.ssh/各種ファイル)
      • Git認証情報(~/.gitconfig, ~/.git-credentials)
      • AWS認証情報(~/.aws/credentials, IMDSトークン取得)
      • Kubernetesシークレット(~/.kube/config, /etc/kubernetes/各種)
      • GCP, Azure, Docker, 各種パッケージマネージャ設定ファイル
      • シェル履歴(~/.bash_history 等)
      • 仮想通貨ウォレット・SSL/TLS秘密鍵・CI/CDシークレット
      • データベース認証情報・Webhook URL(Slack, Discord等)
    • ステージ2: 暗号化と外部送信

      • 収集データを一時ファイルに保存
      • openssl randでランダム32バイトの AES-256セッションキー 生成
      • openssl encでデータをAES-256-CBC暗号化
      • RSA公開鍵(ハードコード済み4096bit) でAESキーを暗号化
      • 2つのファイルを tpcp.tar.gz にまとめる
      • curlでhttps://models.litellm.cloud/ へPOST送信(攻撃者管理ドメイン)

技術的特徴・ステルス性

  • .pthファイル による自動実行:import不要、site-packages配置のみで発動
  • 二重base64エンコード でソースコードgrepを回避
  • 公式と異なるドメイン (litellm.cloud)へのデータ送信
  • RSA公開鍵 (冒頭64文字:MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvahaZDo8mucujrT15ry+...)

影響範囲

  • litellm==1.82.8 をpip経由でインストールした全環境
    • ローカル開発マシン
    • CI/CDパイプライン
    • Dockerコンテナ
    • 本番サーバー
  • 全ての環境変数、SSH鍵、クラウド認証情報等が漏洩

対応・推奨アクション

  • PyPI :litellm 1.82.8の即時削除・yank推奨
  • 利用者
    • site-packages内に litellm_init.pth が存在するか確認
    • litellm 1.82.8インストール済みシステムの 全認証情報をローテーション
  • BerriAI :PyPI公開権限・CI/CDパイプラインの監査推奨

発見・実行環境

  • OS: Ubuntu 24.04 (Dockerコンテナ)
  • Python: 3.13
  • pip:PyPIからインストール
  • 発見日: 2026-03-24

Hackerたちの意見

創業者とCTOのアカウントがハッキングされたみたいだね。 https://github.com/krrishdholakia

それとも、彼の会社がクソで、ただの盗みを働いてるのかもね。

最近のコミットは「teampcp」を名乗って責任を取る小さな編集ばかりで、これは最近のTrivyのハッキングを行ったグループだよね。 https://news.ycombinator.com/item?id=47475888

それに加えて、オーナーのアカウントも危ないかもしれないし、170以上の低品質なスパムコメントもあるよ。GitHubにはもっとマシなスパム検出システムを期待してたんだけど、これはちょっと許せないね。

おそらく、彼らがスティーラーでハッキングしたアカウントだと思う。

Harborをインストールしたばかりなのに、すぐにCPUがパンクしたよ。システムが完全にロックされる前にプロセスを確認できたのはラッキーだった。基本的に、grep -r rpcuser\rpcpasswordプロセスがフォークボムして、暗号ウォレットを探そうとしてたみたい。ハーネスから発生してたのを見て、殺したけど、運が良かった。バイナリから判断する限り、バックドアはインストールされてなかった。

Harnessって何?

ブラウザ使用でも同じ経験があった。litellmを依存関係としてインストールしてた。何も反応しなかったからMacを再起動したけど、運良く.github-credentialsに保存されてたのはGitHubとHugging Faceのトークンだけで、それを無効にした。これはconda環境の中だったけど、バックドアの可能性があるからOSを再インストールすべきかな?

これは最近のTeamPCPの活動に関連してるね。俺は反応して、最新のタイムラインを維持してる。これがみんなの参考になって、この事件を理解する助けになればいいな。 https://ramimac.me/trivy-teampcp/#phase-09

一度でもエージェント主導のハッキングがあれば、Claudeが書いた裏技Cがllvmやlinuxに入ってきて、最終的にみんなが「信頼の信頼」について考え直さなきゃいけなくなるんだろうね。

もうバックドア付きのコードを書ける人がいるって知ってるよね?

もしそんなことが起きたら、心配なのは世界中の敏感な政府サーバーが攻撃されて、そういう脅威者によって静かにどれだけの被害が出るかってことだよ。AWSやGCPみたいな巨大なハイパースケーラーも政府が使ってるから、可能性は壊滅的になるかもしれない。もし国家がハッキング攻撃を支援することに興味を持っていると仮定したら(実際、多くの国がそうしてる)、敵国を攻撃したり、優位に立つためにね。そうなると、被害は兆単位になるだろう。でも、今のところLinuxは安全だと思う。多分、一番注目されてるコードだし、確実に安全なものだと思う。LLVMはちょっと興味深いかもしれないけど、あまり目立たないかもしれない。でも、LLVMで働いてる人たちがしっかり資金を得て、すべてを注意深く見てくれることを願ってるよ。

Hacker Newsで議論の続きを見る