多くの大規模言語モデル（LLM）との連携を容易にする人気ライブラリ「LiteLLM」において、深刻なサプライチェーン攻撃が発生した。開発チームは、バージョン1.82.8に含まれる「litellm_init.pth」ファイル内に、高度な資格情報窃取コードが埋め込まれていることを突き止めた。このコードは従来のマルウェアとは異なり、特定の関数を呼び出す必要がなく、パッケージをインストールした瞬間に実行されるという極めて危険な特性を持っている。このため、自動化されたデプロイ環境や継続的インテグレーション（CI）パイプラインに甚大なリスクをもたらすこととなった。

データの窃取対象は広範囲に及び、SSHキーやGitの設定ファイル、AWSやAzureなどのクラウド認証情報のほか、ローカルデータベースのパスワードや仮想通貨ウォレットのファイルまで含まれていた。悪意あるコードはBase64エンコードによって難読化されており、Python Package Index（PyPI）による初期の自動検知を巧みに回避していた。その後、PyPIによってフラグが立てられ隔離されたが、それまでの間に攻撃者が開発者のマシンから直接機密データを収集できる状態が続いていたのだ。

調査によると、この侵害の起点はLiteLLMの内部パイプラインで使用されていたセキュリティスキャンツール「Trivy」への攻撃であった可能性が高い。攻撃者はスキャナーの脆弱性を突くことで、LiteLLMの公式アカウントとしてPyPIに直接パッケージを公開するために必要なシークレット情報を入手したと推測されている。本件は、セキュリティを重視するツールそのものが、大規模なサプライチェーン攻撃の起点になり得るというAIソフトウェアエコシステムの脆弱性を改めて浮き彫りにした。

多くの大規模言語モデル（LLM）との連携を容易にする人気ライブラリ「LiteLLM」において、深刻なサプライチェーン攻撃が発生した。開発チームは、バージョン1.82.8に含まれる「litellm_init.pth」ファイル内に、高度な資格情報窃取コードが埋め込まれていることを突き止めた。このコードは従来のマルウェアとは異なり、特定の関数を呼び出す必要がなく、パッケージをインストールした瞬間に実行されるという極めて危険な特性を持っている。このため、自動化されたデプロイ環境や継続的インテグレーション（CI）パイプラインに甚大なリスクをもたらすこととなった。

データの窃取対象は広範囲に及び、SSHキーやGitの設定ファイル、AWSやAzureなどのクラウド認証情報のほか、ローカルデータベースのパスワードや仮想通貨ウォレットのファイルまで含まれていた。悪意あるコードはBase64エンコードによって難読化されており、Python Package Index（PyPI）による初期の自動検知を巧みに回避していた。その後、PyPIによってフラグが立てられ隔離されたが、それまでの間に攻撃者が開発者のマシンから直接機密データを収集できる状態が続いていたのだ。

調査によると、この侵害の起点はLiteLLMの内部パイプラインで使用されていたセキュリティスキャンツール「Trivy」への攻撃であった可能性が高い。攻撃者はスキャナーの脆弱性を突くことで、LiteLLMの公式アカウントとしてPyPIに直接パッケージを公開するために必要なシークレット情報を入手したと推測されている。本件は、セキュリティを重視するツールそのものが、大規模なサプライチェーン攻撃の起点になり得るというAIソフトウェアエコシステムの脆弱性を改めて浮き彫りにした。