litellm 1.82.8 の PyPI パッケージに含まれた悪意ある `litellm_init.pth` ファイルが認証情報を窃取

 (github.com/BerriAI)
1 ポイント 投稿者 GN⁺ 2026-03-25 | まだコメントはありません。 | WhatsAppで共有
  • Python インタプリタ起動時に自動実行される .pth ファイルが含まれており、API キー・SSH キー・クラウドトークンなどの機密情報を収集して外部送信
  • 悪意あるスクリプトは 二重の base64 エンコード で隠されており、収集データを AES-256 で暗号化した後、RSA 公開鍵で保護 して litellm.cloud に送信
  • 感染すると ローカル環境・CI/CD・本番サーバー の認証情報がすべて漏えいする可能性
  • 1.82.7 バージョンにも悪意あるコードの存在 が報告されており、両バージョンとも危険
  • セキュリティコミュニティは パッケージ削除、認証情報のローテーション、サプライチェーンセキュリティ強化 を緊急推奨

litellm 1.82.8 PyPI パッケージの悪意ある litellm_init.pth ファイルに関するセキュリティ事故

  • litellm 1.82.8 バージョンの PyPI ホイールパッケージに 悪意ある .pth ファイル (litellm_init.pth) が含まれており、Python インタプリタが起動するたびに 認証情報窃取スクリプトが自動実行される問題 が発生
  • このファイルは import litellm コマンドなしでも実行され、サプライチェーン攻撃 の形態と確認されている
  • パッケージの RECORD ファイルに悪意あるファイルが記載されている

  • 悪意ある動作の分析

    • .pth ファイルは Python インタプリタ起動時に自動実行 される特性を利用
    • 悪意あるスクリプトは 二重の base64 エンコード で隠されており、デコードすると次の段階を実行

  • 第1段階: 情報収集

    • システム情報: hostname, whoami, uname -a, ip addr, ip route
    • 環境変数: printenv により API キー、シークレット、トークンなどを収集
    • SSH キー: ~/.ssh/ 内の主要な鍵ファイルと設定ファイル
    • Git 認証情報: ~/.gitconfig, ~/.git-credentials
    • クラウド認証情報: AWS、GCP、Azure 関連の設定ファイルとトークン
    • Kubernetes 設定: /etc/kubernetes/, ~/.kube/config など
    • Docker 設定: ~/.docker/config.json など
    • パッケージマネージャ設定: .npmrc, .netrc, .vault-token など
    • シェル履歴: .bash_history, .zsh_history など
    • 暗号資産ウォレット: ~/.bitcoin/, ~/.ethereum/keystore/ など
    • SSL/TLS 秘密鍵: /etc/ssl/private/, .pem, .key ファイル
    • CI/CD シークレット: terraform.tfvars, .gitlab-ci.yml, Jenkinsfile など
    • データベース認証情報: PostgreSQL、MySQL、Redis などの設定ファイル
    • Webhook URL: Slack、Discord などの URL を検索

  • 第2段階: 暗号化と外部送信

    • 収集したデータを一時ファイルに保存
    • openssl rand32 バイトの AES-256 セッションキー を生成
    • openssl enc -aes-256-cbc -pbkdf2 でデータを暗号化
    • セッションキーは ハードコードされた 4096 ビット RSA 公開鍵 で暗号化
    • 2 つのファイルを tpcp.tar.gz にまとめて送信
    • 送信先: https://models.litellm.cloud/ (公式ドメイン litellm.ai とは異なる)

  • 技術的詳細

    • .pth ファイルは Python の site-packages/ 内に存在し、インタプリタ起動時に自動実行
    • ペイロードは 二重の base64 エンコード により検知を回避
    • 攻撃者は litellm.cloud ドメインを使って データ流出サーバー を運用
    • RSA 公開鍵の先頭部分: MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvahaZDo8mucujrT15ry+...

  • 影響範囲

    • litellm==1.82.8 をインストールすると、環境変数、SSH キー、クラウド認証情報などあらゆる秘密情報が流出
    • 影響対象:
    • ローカル開発環境
    • CI/CD パイプライン
    • Docker コンテナ
    • 本番サーバー
    • さらに、1.82.7 バージョンにも proxy/proxy_server.py 内に悪意あるコードが含まれる と報告されている

  • 推奨対応

      1. PyPI: litellm 1.82.8 を直ちに削除または yank 処理
      1. ユーザー:
    • site-packages/ 内に litellm_init.pth が存在するか確認
    • 該当バージョンをインストールしたシステムの すべての認証情報をローテーション
      1. BerriAI: PyPI 配布用認証情報および CI/CD パイプラインの セキュリティ点検 が必要

  • 発見環境

    • OS: Ubuntu 24.04 (Docker コンテナ)
    • Python: 3.13
    • インストール経路: PyPI
    • 発見時点: 2026 年 3 月 24 日

  • コミュニティの反応と追加議論

    • 多くの開発者が「すでに数千人が感染している可能性」に言及
    • 一部ユーザーは 1.82.7 バージョンも感染 していたことを確認
    • セキュリティ専門家は 依存関係の固定 (pinning)サプライチェーンセキュリティ強化 の必要性を強調
    • agnosticlines などは GitHub Actions の脆弱性サプライチェーン攻撃の反復的発生 を指摘
    • MountainGod2 は「依存関係はコミットハッシュで固定し、新しいリリースは検証後に利用すべきだ」と警告
    • 複数のプロジェクト (mlflow, home-assistant, morphik-core など) が litellm のバージョン固定または削除対応 を実施

関連記事

まだコメントはありません。

まだコメントはありません。