PyPI に登録された Python 図書館「litellm」のバージョン 1.82.8 に、機密情報を窃取するマルウェアが混入した重大なセキュリティインシデントが発生しました。このパッケージには「litellm_init.pth」という不正なファイルが含まれており、Python インタープリタが起動するたびに自動的に実行されるように設計されています。開発者からの明示的なインポート処理を必要とせず、システムに侵入する極めて巧妙な手法です。 マルウェアの解析結果によると、実行ファイルは二重に base64 符号化されており、起動するとまずホストシステムからの広範囲な機密情報を収集します。収集対象には、ホスト名や IP アドレスなどのシステム情報に加え、すべての環境変数（API キー、トークン、パスワード）、SSH 鍵、Git 認証情報、AWS、GCP、Azure、Kubernetes などのクラウド・コンテナ環境の機密設定が含まれます。さらに、Docker 設定、パッケージ管理ツールのトークン、データベース設定、仮想通貨ウォレットの鍵、SSL/TLS 私人鍵、CI/CD パイプラインの設定、そしてユーザーのシェル履歴に至るまで、機密情報の宝庫がほぼ網羅的にリストアップされます。また、Slack や Discord のウェブフック URL の自動発見機能も備わっています。 収集されたデータは、ランダムに生成された AES-256 鍵で暗号化され、その後、暗号化したハードコードされた 4096 ビット RSA 公開鍵でセッション鍵自体を再度暗号化されます。これらは tar.gz 形式に圧縮され、攻撃者が所有するサーバーへと漏洩する仕組みになっています。このサイバー攻撃により、pip を経由してバージョン 1.82.8 をインストールしたすべてのユーザーが、環境変数や設定ファイル内の機密情報を攻撃者に掌握されたリスクに直面しています。 対策としては、直ちに PyPI 上で該当バージョンの配布を撤回するよう運営側に要請することが急務です。ユーザー側では、サイトパッケージディレクトリ内に「litellm_init.pth」が存在しないか確認し、感染が確認された場合は、影響を受けたすべてのシステムの機密情報を破棄し、新種への変更（ローテーション）を直ちに行う必要があります。また、BerriAI 社を含む開発チームも、PyPI へのパブリッシング権限と CI/CD パイプラインの安全策を見直す必要があります。今回の事案は、ソフトウェア供給チェーンの脆弱性が現実の深刻な被害に直結することを浮き彫りにしており、開発者に対する警戒と継続的な監査の重要性を再認識させる出来事となりました。