AI管理ライブラリの「LiteLLM」がサプライチェーン攻撃を受け、一時的に悪意ある変更を含んだマルウェア版が配布されていたことが判明しました。LiteLLMのマルウェア版ではユーザーのSSHキーやAPIキーを盗み出すスクリプトが動作していたことも判明しています。
GitHubスター4万超えのAIライブラリ「LiteLLM」がサプライチェーン攻撃を受けマルウェア版が配布されてしまう、ユーザーのSSHキーやAPIキーが盗まれた可能性あり
GIGAZINE / 3/25/2026
📰 NewsDeveloper Stack & InfrastructureSignals & Early Trends
Key Points
- GitHubで4万スターを超えるAIライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェア版が配布されユーザー環境に侵入した可能性が報じられた。
- 攻撃によりSSHキーやAPIキーが盗まれた恐れがあり、利用者は認証情報の漏えいリスクに直面している。
- ライブラリ配布の信頼性(依存関係管理・検証・配布経路の安全性)が弱点になり得ることを示す事例となっている。
- AI開発の基盤となるOSS利用者に、迅速な鍵ローテーションや影響確認など実務対応が求められる。
Continue reading this article on the original site.
Read original →Related Articles
Black Hat Asia
AI Business
"The Agent Didn't Decide Wrong. The Instructions Were Conflicting — and Nobody Noticed."
Dev.to
Top 5 LLM Gateway Alternatives After the LiteLLM Supply Chain Attack
Dev.to
Reliable Function Calling in Deeply Recursive Union Types: Fixing Qwen Models' Double-Stringify Bug
Dev.to
5 Real Issues With LiteLLM That Are Pushing Teams Away in 2026
Dev.to
