LiteLLM ハッキングによる毒入り事件：50万の証明書が漏洩、暗号財布が恐らく盗まれる可能性、どうやって感染しているか確認する？

著者：HIBIKI、暗号都市

LiteLLMがサプライチェーン攻撃を受け、数百GBのデータと50万件の証明書が流出 毎日340万回のダウンロードを誇るAIオープンソースパッケージLiteLLMは、多くの開発者が複数の大規模言語モデル（LLM）に接続するための重要な橋渡しであるが、最近、ハッカーの標的となった。カスペルスキーは、この攻撃により2万以上のコードリポジトリがリスクにさらされたと推定しており、ハッカーは数百GBの機密データと50万件以上のアカウント証明書を盗んだと主張している。これは、世界のソフトウェア開発とクラウド環境に深刻な影響を与えた。 セキュリティ専門家による追跡の結果、LiteLLMのハッキング事件の出発点は、企業がシステムの脆弱性をスキャンするために使用するオープンソースのセキュリティツールTrivyであることが判明した。 これは典型的なネストされたサプライチェーン攻撃（Supply Chain Attack）であり、ハッカーはターゲットが依存する上流の信頼ツールを狙い、悪意のあるコードを静かに混入させ、まるで水道局の水源に毒を入れるように、すべての飲用者が知らずに感染することを目指した。

図源：Trivy ｜ LiteLLMハッキング事件の出発点は、多くの企業がシステムの脆弱性をスキャンするために使用するオープンソースのセキュリティツールTrivyである。

LiteLLM攻撃事件の全プロセス：セキュリティツールからAIパッケージへの連鎖爆破 セキュリティ企業Snykとカスペルスキーの分析によると、LiteLLM攻撃事件は2026年2月末にすでに伏線が張られていた。 ハッカーはGitHubのCI/CD（自動化されたソフトウェアテストとリリースプロセス）の脆弱性を利用して、Trivyのメンテナーのアクセス証明書（Token）を盗んだ。証明書が完全に取り消されなかったため、ハッカーは3月19日にTrivyのリリースタグを改ざんし、自動化プロセスが悪意のあるコードを含むスキャンツールをダウンロードするように仕向けた。 その後、ハッカーは同様の手法を用いて、3月24日にLiteLLMのリリース権限を掌握し、悪意のあるコードを含む1.82.7および1.82.8バージョンをアップロードした。 この時、開発者Callum McMahonはCursorエディタの拡張機能をテストしている際に、システムが最新版のLiteLLMを自動的にダウンロードし、彼のコンピュータのリソースが瞬時に消耗された。 彼はAIアシスタントDebugを通じて、悪意のあるコードに欠陥が存在することを発見し、分岐爆弾（Fork Bomb）を引き起こして、コンピュータのメモリと計算リソースを使い果たすという悪意のある行為が、この隠れた攻撃の早期露出を引き起こした。 Snykの分析によると、今回の攻撃の悪意のあるコードは3つの段階に分かれている：

• **データ収集：**プログラムは被害者のコンピュータにある敏感な情報を徹底的にスキャンし、SSHのリモート接続キー、クラウドサービス（AWS、GCP）へのアクセス証明書、そしてビットコインやイーサリアムなどの暗号通貨ウォレットのシードコードを含む。
• **暗号化と流出：**収集されたデータは暗号化され、ハッカーが事前に登録した偽ドメインに秘密裏に送信される。
• **持続的潜伏と横移動：**悪意のあるプログラムはシステム内にバックドアを植え込み、Kubernetesを検出した場合、自動化されたコンテナアプリケーションのデプロイと管理に使用されるオープンプラットフォーム環境で、悪意のあるプログラムをクラスター内のすべてのノードに拡散しようとする。

LiteLLMとTrivyサプライチェーン攻撃のタイムライン

あなたのウォレットと証明書は安全ですか？検査と対策ガイド **2026年3月24日以降にLiteLLMパッケージをインストールまたは更新した場合、または自動化開発環境でTrivyスキャンツールを使用している場合、**あなたのシステムはすでに被害を受けている可能性が非常に高い。 Callum McMahonとSnykの推奨によると、防御と対策の最初の任務は被害範囲を確認し、ハッカーのバックドアを完全に遮断することである。

カスペルスキーは、GitHub Actionsのセキュリティを強化するために、以下のいくつかのオープンソースツールを使用することを推奨している：

• **zizmor：**これは静的分析用のツールで、GitHub Actionsの設定ミスを検出することができる。
• **gatoとGato-X：**これらの2つのバージョンのツールは、構造的に脆弱な自動化プロセスパイプラインを特定するのを支援するために使用される。
• **allstar：**オープンソースセキュリティ財団（OpenSSF）によって開発されたGitHubアプリケーションで、GitHubの組織とリポジトリ内でセキュリティポリシーを設定し、強制することを専門としている。

LiteLLM攻撃の背後には、ハッカーがすでにロブスター養殖ブームに目を付けている Snykとサイバーセキュリティ分野に注目するエンジニアHuliの分析によると、この事件の裏にはTeamPCPというハッカーグループが存在し、このグループは2025年12月から活発に活動しており、頻繁にTelegramなどのメッセージアプリを通じてチャンネルを作成している。 **Huliは、ハッカーが攻撃過程でhackerbot-clawという自動化攻撃コンポーネントを使用したと指摘している。**この名前は最近AI界隈で非常に人気のあるロブスター養殖（OpenClaw）AIエージェントのトレンドに巧妙に合わせている。 このハッカーグループは、TrivyやLiteLLMを含む高権限で広く使用されるインフラツールを狙い、最新のAIトレンドを利用して攻撃の規模を拡大することを理解し、非常に組織的かつターゲットを絞った犯罪手法を示している。

図源：Huli 随意聊 ｜ サイバーセキュリティ分野に注目するエンジニアHuliがTrivyとLiteLLMサプライチェーン攻撃事件について解説（部分スクリーンショット）

AIツールの普及が進む中、開発プロセスにおける権限管理とサプライチェーンの安全性は、すべての企業が無視できないリスクとなっている。 近年の著名な開発者のNPMアカウントがハッキングされ、JavaScriptパッケージに悪意のあるコードが埋め込まれ、多くのDAppやウォレットが危険にさらされた事例や、Anthropicが中国のハッカーがClaude Codeを介して史上初の大規模AI自動化ネットワークスパイ行動を開始したことを暴露した事例などは、警戒すべきである。