AI管理ライブラリの「LiteLLM」がサプライチェーン攻撃を受け、一時的に悪意ある変更を含んだマルウェア版が配布されていたことが判明しました。LiteLLMのマルウェア版ではユーザーのSSHキーやAPIキーを盗み出すスクリプトが動作していたことも判明しています。
GitHubスター4万超えのAIライブラリ「LiteLLM」がサプライチェーン攻撃を受けマルウェア版が配布されてしまう、ユーザーのSSHキーやAPIキーが盗まれた可能性あり
GIGAZINE / 2026/3/25
📰 ニュースDeveloper Stack & InfrastructureSignals & Early Trends
要点
- GitHubで4万スターを超えるAIライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェア版が配布されユーザー環境に侵入した可能性が報じられた。
- 攻撃によりSSHキーやAPIキーが盗まれた恐れがあり、利用者は認証情報の漏えいリスクに直面している。
- ライブラリ配布の信頼性(依存関係管理・検証・配布経路の安全性)が弱点になり得ることを示す事例となっている。
- AI開発の基盤となるOSS利用者に、迅速な鍵ローテーションや影響確認など実務対応が求められる。
この記事の続きは原文サイトでお読みいただけます。
原文を読む →
