概要
2026年3月24日に発生したLiteLLMのPyPIパッケージ侵害事件について、マルウェアの動作詳細から具体的な除染・対応手順までを技術的に解説した速報記事。
詳細内容
### インシデントの概要
2026年3月24日、LLMプロキシライブラリ「LiteLLM」のPyPIアカウントが侵害され、悪性コードを含むバージョン1.82.7および1.82.8が公開されました。これはTeamPCPによる一連のサプライチェーン攻撃の一環と考えられています。
### マルウェアの動作詳細
- **実行起点**: v1.82.7はインポート時に、v1.82.8は`.pth`ファイル経由でPython起動時のみで発火します。なお、v1.82.8は実装ミスによりフォークボム的な挙動を示します。
- **情報窃取**: SSH鍵、クラウド(AWS/GCP/Azure/Azure)のクレデンシャル、Kubernetesシークレット、暗号資産ウォレット、ブラウザ履歴、環境変数など、極めて広範な認証情報を収集し外部へ送信します。
- **永続化とラテラル**: `systemd`ユーザーサービスとしてバックドアを設置するほか、Kubernetes環境では特権Pod(node-setup-*)を全ノードに展開しようと試みます。
### 対応指針
1. **確認**: `pip show litellm`で1.82.7/8が導入されていないか確認する。
2. **駆除**: アンインストール、`pip cache purge`の実行、および`~/.config/sysmon/`内のバックドアファイル削除を行う。
3. **ローテーション**: 収集対象となった全てのクレデンシャル(特にクラウド鍵、SSH、K8sトークン)を即座に更新する。
### 自衛策
今後も続く可能性があるサプライチェーン攻撃への対策として、信頼できるレジストリプロキシ(Takumi Guard等)の利用や、新規パッケージの検疫期間(72時間程度)の導入が推奨されます。