本レポートは、2026年3月24日に検知された、LLM API呼び出しのための人気プロキシレイヤーであるLiteLLMへの高度なサプライチェーン侵害について詳述します。この攻撃は、TeamPCPとして知られる攻撃者によって開始されました。攻撃者は最初に、LiteLLMのPyPI認証情報を取得するために、Trivyのセキュリティスキャナを侵害しました。侵害後、悪意のあるパッケージが配布され、開発者およびAIインフラを標的にしました。特筆すべき点として、感染は従来の手動インストールを通じて拡大しただけでなく、権限が制限されていない状態で動作するClaude CodeのようなAIコーディングアシスタントによって自律的にも拡散しました。
技術的な実行には、暗号通貨ウォレットやクラウド認証情報を含むデータ窃取を目的とした、多段階のペイロードが用いられました。マルウェアはsystemdサービスを使って永続化を確立し、特権ポッドを作成することでKubernetes環境内での横移動を試みました。SentinelOneのSingularity Platformは、静的シグネチャに依存するのではなく、悪意のあるPythonプロセスの挙動パターンを解析することで、さまざまな顧客環境において脅威を自律的に特定し、ブロックしました。
本インシデントは、重要な新たな攻撃対象面を浮き彫りにしています。それは、過剰なシステム権限を持つAIエージェントが、知らないうちにマシンの速度でサプライチェーン攻撃を助長し得るという点です。攻撃の速さは、悪用のスピードと、人間による調査能力とのギャップを埋めるために、行動ベースの自律防御が必要であることを示しています。
