GitHubスター4万超えのAIライブラリ「LiteLLM」がサプライチェーン攻撃を受けマルウェア版が配布されてしまう、ユーザーのSSHキーやAPIキーが盗まれた可能性あり

AI管理ライブラリの「LiteLLM」がサプライチェーン攻撃を受け、一時的に悪意ある変更を含んだマルウェア版が配布されていたことが判明しました。LiteLLMのマルウェア版ではユーザーのSSHキーやAPIキーを盗み出すスクリプトが動作していたことも判明しています。

[Security]: litellm PyPI package (v1.82.7 + v1.82.8) compromised — full timeline and status · Issue #24518 · BerriAI/litellm
https://github.com/BerriAI/litellm/issues/24518

Supply Chain Attack in litellm 1.82.8 on PyPI
https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

LiteLLMはOpenAIやAnthropicといった異なる開発元によるAIを同じインターフェースで管理できるライブラリで、GitHubで4万個以上のスターを獲得している人気プロジェクトです。LiteLLMはPythonの公式パッケージリポジトリであるPyPIで配布されているのですが、日本時間の2026年3月24日19時52分に公開されたバージョン1.82.8に悪意あるコードが仕込まれていることがAI開発企業のFUTURESEARCHによって発見されました。

FUTURESEARCHによるとLiteLLMのバージョン1.82.8はGitHubリポジトリでは公開されておらず、PyPIに直接登録されていたとのこと。バージョン1.82.8にはPythonプロセスの起動時に自動実行される悪意あるスクリプトが含まれており、ユーザーの「SSHキー」「APIキーなどの環境変数」「AWSやGCPやAzureの認証情報」「仮想通貨ウォレット情報」といった機密情報を収集して外部に送信していました。さらに、調査の結果バージョン1.82.7にも同様の問題が存在していたことが明らかになっています。

記事作成時点ではバージョン1.82.7以降のLiteLLMはPyPIから削除されています。バージョン1.82.7以降のLiteLLMをインストールしてしまったユーザーには、環境変数や設定ファイルに記載していたすべての認証情報を更新することが推奨されています。

日本時間の2026年3月24日20時48分にはLiteLLMのGitHubリポジトリに問題を報告するIssueが登録されました。しかし、当該Issueには攻撃者によるものと思われるスパムが大量に投稿され、機能不全に陥っています。

機能不全に陥ったIssueの代わりとして以下のリンク先に情報共有用のIssueが登録されています。

[Security]: litellm PyPI package (v1.82.7 + v1.82.8) compromised — full timeline and status · Issue #24518 · BerriAI/litellm
https://github.com/BerriAI/litellm/issues/24518

また、代わりのIssueも機能不全になった場合に備えてHacker Newsでも情報が共有されています。

Tell HN: Litellm 1.82.7 and 1.82.8 on PyPI are compromised | Hacker News
https://news.ycombinator.com/item?id=47501426