AIモデルを統一インターフェースで呼び出せるゲートウェイライブラリ「LiteLLM」のPyPIパッケージ(v1.82.7およびv1.82.8)が、2026年3月にサプライチェーン攻撃(ソフトウェアの配布経路を狙って悪意あるコードを混入させる攻撃手法)によって汚染されました。脅威グループ「TeamPCP(別名:UNC6780)」による仕込みで、SSHキー・クラウド認証情報・Kubernetesコンフィグ・APIキーを盗み出すマルウェアが約40分間にわたって公開されていました。この期間にv1.82.7またはv1.82.8をインストールしたユーザーは、認証情報の漏洩を前提とした対応が必要です。
今回の攻撃は巧妙な3段階の仕掛けで構成されていました。
第1段階:インストール時の実行
パッケージのインストール時に自動で実行される setup.py にコードが埋め込まれており、インストールと同時にマルウェアが動き出す仕組みになっていました。
第2段階:外部からのペイロード取得
初期コードは外部サーバーに接続し、本体となる悪意あるスクリプトをダウンロードします。本体を分離することで静的なウイルス検知を回避する狙いがあったとみられます。
第3段階:認証情報の収集と送信
最終段階では、~/.ssh/ ディレクトリのSSHキー、AWS・GCP・Azureなどのクラウド認証情報、Kubernetes(コンテナ管理基盤)の設定ファイル、各種AIサービスのAPIキーを収集し、攻撃者の管理するサーバーへ送信します。
Hacker Newsのコミュニティでは「攻撃者自身のバグが発見のきっかけになったのが皮肉だ。今後はより慎重に作られた攻撃が来るだろう」という指摘が相次ぎました。今回は攻撃コードに不具合があったことで異常が検知されやすくなり、比較的早期に発見・削除が実現しました。しかし、このような幸運が常にあるとは限りません。
特に注目すべきは攻撃の起点です。Redditでは「セキュリティスキャンツール『Trivy』を経由したCI/CDパイプライン(継続的インテグレーション/デリバリーの自動化環境)への侵入という構造が特に危険」という声が上がっています。セキュリティを高めるためのツール自体が攻撃の足がかりになった点は、DevSecOps(開発・運用・セキュリティの統合)の在り方に一石を投じるものです。
X(旧Twitter)上では「AIインフラに依存するプロジェクト全てが対象になりうる。PyPI(Pythonパッケージ配布サイト)のパッケージ整合性検証の強化が急務」との声が広まっています。LiteLLMはOpenAI・Anthropic・Geminiなど多数のAIサービスを束ねるライブラリとして広く利用されており、侵害された場合の影響範囲は極めて広くなります。
v1.82.7またはv1.82.8を使用していた方は、関連する認証情報(SSHキー、クラウドアカウント、APIキーなど)をすべてローテーション(再発行)することを強くお勧めします。また、CI/CDパイプラインのビルドログを遡って不審な通信がないか確認することも重要です。