2026年3月24日、AIモデル統合ライブラリとして人気の高いLiteLLMがサプライチェーン攻撃を受けました。攻撃者グループ「TeamPCP」がLiteLLMのCI/CDパイプラインで使用されていたセキュリティスキャナー「Trivy」を経由してPyPI認証情報を窃取し、バックドア入りのバージョン1.82.7と1.82.8を公開したのです。LiteLLMは1日あたり約340万回ダウンロードされる人気パッケージであり、影響範囲の大きさが懸念されました。
侵害されたバージョンには認証情報を窃取するペイロードが含まれていました。具体的には、SSHキー、クラウドトークン、Kubernetesシークレット、暗号ウォレット、.envファイルを収集し、暗号化してPOSTリクエストで外部送信する機能が組み込まれていました。さらにバージョン1.82.8では、Pythonの起動時に自動実行される「.pth」ファイルをインストールし、LiteLLMを直接使用していなくても悪意あるコードが実行される仕組みになっていました。Kubernetesクラスター全体への横展開を試みる機能や、systemdを利用した永続的なバックドアも含まれていたことが判明しています。
幸いにも、PyPIは問題のパッケージを約3時間で隔離し、被害は限定的にとどまりました。Reddit上のr/LocalLLaMAとr/Pythonコミュニティで最初に情報が拡散され、従来のセキュリティチャネルよりも速く警告が広まったのは注目に値します。Hacker Newsでは、Point Wildが攻撃発覚から24時間以内に無料のスキャナーをリリースしたこと、AppOmniがHeisenbergモードを追加したことが話題となりました。
今回の事件は、OSSのセキュリティスキャナー自体が攻撃ベクトルになりうるという新たなリスクを浮き彫りにしました。CI/CDパイプラインに組み込まれたサードパーティツールの検証がこれまで以上に重要になっています。
| - [Security Update: Suspected Supply Chain Incident | LiteLLM](https://docs.litellm.ai/blog/security-update-march-2026) |
|---|---|
| - [TeamPCP Backdoors LiteLLM Versions 1.82.7–1.82.8 | The Hacker News](https://thehackernews.com/2026/03/teampcp-backdoors-litellm-versions.html) |
| - [How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM | Snyk](https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm/) |