【緊急】月間9500万DLのLiteLLMが乗っ取られた SSH鍵・AWS認証・仮想通貨が全部盗まれ、影響計り知れず、全ノードにバックドアも
【緊急】月間9500万DLのLiteLLMが乗っ取られた。インストールしただけでSSH鍵・AWS認証・仮想通貨が全部盗まれる
2026年3月24日、AIエージェント開発者の間で最も広く使われているPythonライブラリの一つ「LiteLLM」が、サプライチェーン攻撃により完全に乗っ取られました。
月間9,500万ダウンロード。影響範囲は計り知れません。
結論から言うと
LiteLLM v1.82.7 および v1.82.8 をインストールした場合、あなたのSSH鍵、AWS/GCP/Azure認証情報、仮想通貨ウォレット、データベースパスワードがすべて攻撃者に送信された可能性があります。
さらにKubernetes環境では全ノードにバックドアが設置されている可能性があります。
犯人は「TeamPCP」— 連鎖的サプライチェーン攻撃グループ
この攻撃は単独の事件ではありません。TeamPCPと呼ばれるグループによる、連鎖的なサプライチェーン攻撃の一環です
影響範囲がヤバい — あなたが使っているツールも汚染されている可能性
「自分はLiteLLMなんて使ってないから関係ない」
本当にそうですか?
LiteLLMのGitHubリポジトリ(40,400スター、6,700フォーク)のDependentsページを見ると、19,262リポジトリと2,247パッケージがLiteLLMに依存しています。
つまり、pip install litellmを自分で実行していなくても、別のツールが裏でインストールしている可能性があるのです。
LiteLLMに直接依存している主要プロジェクト
以下のプロジェクトを使っている場合、あなたの環境にlitellmが入っている可能性があります。今すぐpip show litellmで確認してください。
AIエージェントフレームワーク
プロジェクト Stars 概要 影響
OpenHands(旧OpenDevin) 51k+ オープンソース版Devin(AI開発エージェント) litellmをコア依存として使用
DSPy(Stanford NLP) 24k+ プログラマティックLLMフレームワーク litellm>=1.64.0が必須依存
AgentOps 4k+ AIエージェント監視SDK litellm>=1.3.1を統合
LLM基盤ツール・オブザーバビリティ
プロジェクト Stars 概要 影響
Langfuse 10k+ LLMオブザーバビリティプラットフォーム litellm SDKを公式統合
MLflow(Databricks) 20k+ MLOpsプラットフォーム litellmコールバック統合
Databricks AI Bridge — Databricks AI統合ライブラリ litellmに依存
エンタープライズ採用(GitHubリポジトリREADMEに掲載)
企業/プロジェクト 用途
Stripe LLMプロキシとして採用
Netflix AI基盤に統合
Google ADK AI Development Kitで連携
OpenAI Agents SDK エージェントSDKで利用
Greptile コードベースAI分析
詳細はソース 2026/3/26
https://qiita.com/emi_ndk/items/2332ff5c93e63ab736ad
LiteLLM Supply Chain Attack Steals 300GB Data and 500K Credentials
LiteLLMの侵害事件は、広く利用されているソフトウェアパッケージであっても深刻なリスクを孕んでいる可能性があることを示している。これは開発者が依存関係を慎重に管理し、潜在的な脅威に常に警戒する必要があることを改めて浮き彫りに
https://www.cryptotimes.io/2026/03/25/litellm-supply-chain-attack-steals-300gb-data-and-500k-credentials/
ネット民のコメント
なぜなら、この攻撃は単一ライブラリの失陥に留まらず、依存関係の深層を埋め尽くしているからだ。Stripe や Netflix といった巨大企業すらもこの連鎖に組み込まれており、独立した防御が不可能な構造になっている。2026 年という時期に AI エージェントが汎用化され、その基盤が汚染されれば、物理的な世界まで浸食される。隠されたバックドアが全ノードに張り巡らされ、管理者ですら気づく前に支配権が握られる。
ドラえもんのOSにアップデートが入って野比家の通帳や権利書を全部持ち去られたうえにどこでもドアやタイムマシンでいつ再侵入されるか分からないみたいな感じ
IP決めうちで1アドレスとだけ繋がるようにルーターで設定できたらハッキングも乗っ取りも無効化出来るでしょ
この前の中華タブレットみたいにメーカーや機種は違っても、OSは同じ所から調達してきたウイルス入りAndroidをこぞって乗っけたみたいな感じか
https://atmarkit.itmedia.co.jp/ait/articles/2603/25/news095.html
Microsoft365使ってる会社のPC博士が勉強で会社のPCにこれ入れてたら\(^o^)/オワタ
あまりに普遍的なライブラリなんで自分のPCがやられてなくても普通に接続先のサービスが乗っ取られてるやつやね
まあパソコンの先生と揶揄されるPCヲタクが会社の環境で自由にpythonインストールしてる会社は終わったよ。
一度でもそういうところで働いてしまうと酷使される側から自力で脱出するのは不可能だから、強制逮捕で切り離してやってほしいよ
windowsで言うとソフトをインストールしたらdllのセットがネットから一緒にダウンロードされるんだよ
例えば君のパソコンを乗っ取ってそのパソコンから犯行予告をしてバックドアの痕跡を全部消し犯罪を君に擦り付けるとかさ
githubからダウンロードしたコードを組み合わせてコードの内容を理解してないが上手くプログラムが動いてしまって得意になってる若手IT博士がいる会社は終了の可能性が高い。
仮想通貨はインサイダーでもなんでもありだし犯罪者のマネロンに使われるしこんなことも度々起こるしなんの為にあるの
結局実行環境のsite-packagesにマルウェア入ってれば終わりだからnativeだろうがvenvだろうがuvだろうがぴえん
Trivyは「システムに脆弱性がないか安全を確認するツール」です。皮肉なことに、セキュリティ意識の高い企業ほど、システムをデプロイする前に自動で「Trivy」を実行して安全確認を行う設定(CI/CD)をしていました。その安全確認ツール自体が毒入りだったため、自動的に社内の重要な認証キーが盗み出されてしまったのです。
全世界の企業の情報セキュリティー部門が自社の環境でインストールされてないか検証中もしくはインストールされてて対策を考えてる。
チームみらいとかClaudeやGeminiをラッパーしただけのツールとか得意気に披露していたからヤバそうだな
LiteLLM の裏側に隠されたバックドア、つまり元からあったものを利用しただけなのかな。そうなると開発段階に大きな悪意がすでにあったことになるね。
py -m pip show litellmしてもnot found: litellmって言われたけど
整然と犯罪を語れるようなできすぎたストーリーは、ウソのストーリーだ。最初からバックドアがあったほうが自然だ。
直接は利用してないって思ってても使ってるソフトもウィルスに書き換えられてました~ってのがあり得るってこと?
サーバーに組み込むフレムーワークでこれを使った企業のアプリをインストールしている端末は危ないという話。
去年11月にPC高騰前にゲーミングPC買ってLLMとかもやってみっかーと思いつつワンシーズン電源入れっぱで放置してたけど、何もしてなくてよかった😎