複数の大規模言語モデルにアクセスするためのオープンソースインターフェースであるLiteLLMの2つのバージョンが、認証情報盗聴コードを注入した供給チェーン攻撃に続いて、Pythonパッケージインデックス(PyPI)から削除されました。
具体的には、LiteLLM v1.82.7とv1.82.8は、コンポーネントファイルlitellm_init.pthに認証情報盗聴コードが含まれているため削除されました。
LiteLLMを保守するBerri AIのCEOであるKrrish Dholakiaは、オンライン投稿で述べています。侵害は、プロジェクトのCI/CDパイプラインでTrivyを使用したことが発端と見られています。
TrivyはAqua Securityが保守するオープンソースの脆弱性スキャナーで、多くの他のプロジェクトがセキュリティ対策として導入しています。マルウェアキャンペーンは2月下旬に始まりました。攻撃者はTrivyのGitHub Actionsの環境設定の誤りを利用して、CI/CDの操作を可能にした特権アクセストークンを盗みました。Aqua Securityによれば、このようなことが起こったのです。
ソフトウェアは3月19日に破壊されました。TeamPCPと呼ばれる攻撃者は、侵害された認証情報を使用して悪意のあるTrivyリリース(v0.69.4)を公開し、3月22日には悪意のあるTrivyバージョンv0.69.5とv0.69.6がDockerHubイメージとして公開されました。
しかしAqua Securityは、攻撃者が採取したアプローチが、単に新しい悪意のあるバージョンのTrivyをアップロードするだけではなく、より洗練されていたと説明しています。
「既存のバージョンタグを修正することにより、[GitHubアクションスクリプト] trivy-actionに関連付けられているバージョンタグを変更して、悪意のあるコードを組織が既に実行していたワークフローに注入しました」と同社は述べています。「多くのCI/CDパイプラインはピンされたコミットではなくバージョンタグに依存しているため、これらのパイプラインは、基礎となるコードが変更されたという表示なしに実行され続けました。」
Dholakiaは、プロジェクトのGitHubリポジトリに.env変数として保存されていたLiteLLMのPYPI_PUBLISHトークンがTrivyに送信され、攻撃者がそれを取得して、新しいLiteLLMコードをプッシュするのに使用したと述べています。
「私たちはすべてのPyPIパブリッシングトークンを削除しました」と彼は述べています。「私たちのアカウントには2faがあったので、ここに悪いトークンがあります。私たちはアカウントをレビューしており、より安全にする方法を模索しています(JWT トークンを介した信頼できるパブリッシング、別のPyPIアカウントへの移行など)。」
別の展開として、GitHubの脆弱性レポートは、報告に関する有用なコメントを紛らわして曖昧にするために設計されたスパム攻撃の対象となったようです。太平洋夏時間午前5時44分に、「ありがとうございました。役に立ちました!」というおおよそAI生成の多数のバリエーションがリポジトリに氾濫しました。セキュリティ研究者Rami McCarthyによれば、投稿に使用された25のアカウントのうち19個がTrivyスパムキャンペーンでも使用されていました。
Python Packaging Authority(PyPA)がLiteLLM侵害に関するセキュリティアドバイザリを公開しています。
「プロジェクトをインストールして実行した誰もが、[the] LiteLLM環境で利用可能な認証情報が公開された可能性があると想定し、それに応じてそれらを取り消し/ローテーションする必要があります」と、アドバイザリは述べています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/24/trivy_compromise_litellm/
