LiteLLM 1.82.8に悪意あるコード混入、PyPIパッケージが認証情報を窃取
要約
AI開発者に広く使用されているLiteLLMライブラリのバージョン1.82.8がPyPIで公開された際、悪意のあるコードが仕込まれていたことが判明した。このマルウェアはlitellm_init.pthファイル内にbase64でエンコードされて隠蔽されており、パッケージをインストールするだけで(importしなくても)認証情報窃取が実行される仕組みになっていた。前バージョン1.82.7でも同様の脆弱性があったが、こちらはimportが必要だった。PyPIは数時間以内にパッケージを隔離したため被害の窓は限定的だったが、インストールした場合は~/.ssh/、~/.aws/、~/.docker/、暗号通貨ウォレット、各種設定ファイル、シェル履歴など膨大な機密情報が窃取される可能性があった。この攻撃は、LiteLLMのCIで使用されていたセキュリティスキャナーツールTrivyに対する最近の攻撃から始まったとみられ、TrivyのエクスプロイトによってPyPI認証情報が盗まれ、それを使って悪意あるパッケージが直接公開されたと考えられている。
洞察・気づき
この事件は、AIエコシステムにおけるサプライチェーン攻撃の深刻な脅威を浮き彫りにしている。特に注目すべきは、セキュリティツール自体が攻撃の起点となったという皮肉な状況だ。開発者は依存関係の管理においてより慎重になる必要があり、パッケージの自動更新には細心の注意を払うべきである。また、このような攻撃が数時間という短期間で実行されることから、リアルタイムでの脅威検知と迅速な対応体制の重要性が改めて示された。AI開発においては、モデルやアルゴリズムの進歩と同様に、セキュリティ面での対策強化が急務であることを示す事例といえる。