1. 개요
- 오픈소스 라이브러리 LiteLLM의 PyPI 패키지 두 버전에 악성 페이로드가 삽입되어 배포되는 공급망 공격 발생 [1][2][3]
- Trivy 공급망 침해에서 비롯되었으며, CircleCI 계정 정보가 유출되어 PyPI 토큰 및 Github PAT(Personal Access Token)이 탈취됨 [4]
- 공식 LiteLLM Proxy Docker 이미지 사용자는 requirements.txt에 버전이 고정되어 있어 영향을 받지 않으나, PyPI에서 직접 설치한 환경에 영향 [5]
2. 주요 내용
- LiteLLM의 PyPI 패키지 1.82.7, 1.82.8 버전에 악성코드가 포함
> litellm/proxy/proxy_server.py에 base64로 인코딩된 악성코드가 추가되어 있었고, 이를 디코딩하여 별도의 파일을 생성한 뒤 실행하는 구조
| 패키지명 | 버전 | 악성 코드 위치 | 동작 방식 | 상태 |
| LiteLLM | 1.82.7 | - proxy/proxy_server.py | import litellm.proxy 시 실행 | PyPI에서 삭제됨 |
| 1.82.8 | - proxy/proxy_server.py - litellm_init.pth |
Python 인터프리터가 시작될 때마다 실행 |
2.1 악성 코드 동작 방식
- 자격 증명 수집 후 암호화된 tpcp.tar.gz 파일을 C2 도메인으로 유출 및 C2 서버와 통신하며 지속성을 유지
① 자격 증명 수집
- 시스템 정보(hostname, whoami, uname -a, ip 정보 등), 환경 변수, SSH Key 정보, 클라우드 인증 정보 등 자격 증명 수집
> 암호화된 데이터와 세션 키를 tpcp.tar.gz로 압축해 C2 도메인(models[.]litellm[.]cloud)으로 유출
② 지속성 확보
- 주기적으로 C2 도메인(checkmarx[.]zone/raw)와 통신하며 추가 페이로드를 다운로드
- LiteLLM 대응 [6][7][8]
> 영향받은 버전(v1.82.7, v1.82.8) PyPI에서 삭제
> 모든 관리자 계정 변경
> GitHub/Docker/CircleCI/pip의 모든 키 삭제 및 교체
> 새 관리자 계정 @krrish-berri-2와 @ishaan-berri로 교체
> 공급망 리뷰가 완료될 때까지 신규 릴리즈 배포 중
> Google의 Mandiant 보안 팀과 협력하여 조사 및 복구 진행 중
> 향후 Trusted Publishing(JWT 토큰 기반 OIDC) 전환, 별도 PyPI 계정 사용 등 보안 강화 검토
3. 대응방안
- 현재 사용중인 버전 및 litellm_init.pth 존재 확인 후 삭제
> 감염된 버전을 사용 중일 경우 모든 비밀 유출로 간주하고 모든 비밀 변경
> 1.82.6 이하 버전 또는 추후 발표될 최신 버전으로 변경
> 침해지표 차단 및 접근 이력 검토
[감염 여부 확인 명령]
- find / -name "litellm_init.pth" -type f 2>/dev/null
- find / -path '*/litellm-1.82.*.dist-info/METADATA' -exec grep -l 'Version: 1.82.[78]' {} \; 2>/dev/null
[litellm_init.pth 확인 명령]
- find /usr/lib/python3.13/site-packages/ -name "litellm_init.pth"
- 실무 권장 사항 [9]
> 의존성 확인 시 SHA256 체크섬과 함께 버전 고정
> 내부 패키지 미러 운영으로 최신 버전 직접 사용 방지
4. 참고
[1] https://www.litellm.ai/
[2] https://www.endorlabs.com/learn/teampcp-isnt-done
[3] https://github.com/BerriAI/litellm/issues/24512
[4] https://news.ycombinator.com/item?id=47502858
[5] https://docs.litellm.ai/blog/security-update-march-2026?utm_source=teampcp&utm_medium=timeline&utm_campaign=litellm
[6] https://github.com/BerriAI/litellm/issues/24518
[7] https://github.com/BerriAI/litellm/discussions/24575
[8] https://news.ycombinator.com/item?id=47501426
[9] https://news.hada.io/topic?id=27819
[10] https://news.hada.io/topic?id=27824
[11] https://news.hada.io/topic?id=27924
[12] https://futuresearch.ai/blog/no-prompt-injection-required/
[13] https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/
[14] https://www.boannews.com/media/view.asp?idx=142818&page=3&kind=1
'취약점 > Supply-Chain Attack' 카테고리의 다른 글
| Checkmarx 및 Bitwarden CLI 공급망 공격 (0) | 2026.04.26 |
|---|---|
| Axios 공급망 공격 (0) | 2026.04.01 |
| Trivy 공급망 공격 (CVE-2026-33634) (0) | 2026.03.25 |
| Notepad++ 공급망 공격 (0) | 2026.02.11 |
| IDE Extensions 기법 (2) | 2025.06.29 |