月間9500万回ダウンのPyPIライブラリーにバックドア 認証情報の窃取を確認：セキュリティニュースアラート

PyPIで公開されているライブラリー「litellm」の特定版に不正コードが混入した。悪用によって認証情報の窃取やK8sへの横展開、永続的なバックドア設置が可能になるという。利用環境の調査および認証情報の更新が強く推奨される。

[ITmedia エンタープライズ編集部，ITmedia]

　Endor Labsは2026年3月24日（現地時間）、Pythonパッケージリポジトリー「PyPI」で公開された「litellm」の特定バージョンに不正コードが混入していたと発表した。

　対象はバージョン1.82.7および1.82.8で、いずれも公式「GitHub」リポジトリーには存在しない改ざんが確認された。litellmは、複数の大規模言語モデル（LLM）サービスを単一のAPIで扱えるライブラリーであり、月間9500万回以上のダウンロードを記録するなど、広く利用されている。

月間9500万回ダウンのPyPIライブラリーに不正コード混入

　問題のコードは、パッケージ内の「proxy_server.py」に挿入されていた。モジュール読み込み時に実行される仕組みで、ユーザー操作なしにペイロードが起動する。1.82.8では「.pth」ファイルも仕込まれており、Python起動時に自動実行されるため、該当ライブラリーを直接使用しなくとも攻撃が発動する。

　ペイロードは3段階で構成される。第1段階ではオーケストレーション処理が実行され、第2段階で認証情報収集プログラムが起動する。SSH鍵やクラウド認証情報、Kubernetesシークレット、環境変数ファイル、暗号資産ウォレットなど広範なデータが収集対象となる。収集データは暗号化され、攻撃者が管理するドメインに送信される。

　「Kubernetes」環境においては、各ノードに特権Podを展開することで横展開を実施する。これによりホストファイルシステムへアクセスし、さらなる侵入が可能となる。第3段階ではsystemdサービスとしてバックドアが設置され、一定間隔で外部サーバから追加の実行ファイルを取得する仕組みが導入される。

　分析の結果、この攻撃は「TeamPCP」と呼ばれる攻撃グループによるものと高い確度で特定された。同グループは直近1カ月でソフトウェア供給網を標的とした一連の攻撃を展開しており、「GitHub Actions」「Docker Hub」「npm」「OpenVSX」「PyPI」と複数のエコシステムに侵入している。過去には脆弱（ぜいじゃく）性スキャナー「Trivy」やIaC解析ツール「KICS」への侵害も確認されている。

　攻撃手法は一貫しており、侵害した環境から認証情報を取得し、次の標的に侵入する連鎖型の展開を特徴とする。特にセキュリティ関連ツールやインフラ系ソフトが狙われており、これらが持つ高権限アクセスを悪用することで効率的に影響範囲を拡大している。

　今回の事案ではPyPIのパッケージ自体の整合性チェックをすり抜けるため、改ざん後にメタデータも再生成されていた。レジストリー内部の検証だけでは検出が困難であり、配布物とソースコードの比較が有効な対策となる。

　Endor Labsは、該当バージョンの削除を確認済みであるとした上で、利用環境の調査と認証情報の全面的な更新を強く推奨している。特に影響を受けた可能性のある環境においては、クラウド資格情報やAPIキー、SSH鍵などの再発行が必要となる。