LiteLLM 공급망 공격: 해커들이 AI 스타트업 Mercor를 어떻게 뚫었나
AI 모델 훈련을 위한 채용을 전문으로 하는 AI 플랫폼 Mercor가 Python 라이브러리 LiteLLM의 유출로 인해 공격을 당했습니다. 이 사건은 시가총액 100억 달러 규모의 플랫폼을 강타했으며, 이 플랫폼은 매일 계약자들에게 200만 달러 이상을 지급합니다. 해커들은 Trivy를 유출시켜 PyPI에 접근한 뒤, LLM API 프록시로 사용되는 해당 라이브러리의 악성 버전 1.82.7과 1.82.8을 배포했습니다.
PyPI를 통한 공격 메커니즘
공격은 3월 24일 TeamPCP 그룹이 Trivy 취약점 스캐너를 해킹하고 게시 토큰을 추출해 감염된 LiteLLM 패키지를 업로드하면서 시작되었습니다. 이 라이브러리는 매월 9,700만 회 다운로드되며 OpenAI, Anthropic 등 모델에 대한 통합 인터페이스로 사용됩니다.
악성 코드는 litellm을 import할 필요 없이 설치 시 즉시 활성화되어 다음을 추출했습니다:
- SSH 키;
- 클라우드 자격 증명;
- Kubernetes 시크릿;
- 제공자 API 키.
침투는 맬웨어 결함으로 인해 발견되었습니다: .pth 파일이 재귀 프로세스 포킹을 유발해 포크 폭탄을 일으켜 FutureSearch 엔지니어의 시스템을 다운시키고 사건을 드러냈습니다.
Mercor와 생태계에 미친 영향
Lapsus$ 그룹은 Tailscale VPN을 통해 Mercor의 4TB 데이터를 훔쳤다고 주장했습니다. 유출 데이터에는 다음이 포함됩니다:
- 939GB 소스 코드;
- 211GB 사용자 데이터베이스;
- 3TB 비디오 인터뷰 및 인증 문서.
샘플 분석 결과 Slack, 티켓 시스템, AI 에이전트 로그 데이터가 드러났습니다. Mercor는 사건 발생을 확인했으나 고객 데이터 유출에 대해서는 논평을 거부했습니다. LiteLLM은 해당 버전을 삭제하고 릴리스를 일시 중지한 뒤 Vanta로 컴플라이언스 제공자를 변경했습니다.
이는 TeamPCP 캠페인의 일부입니다: Axios는 이전에 npm에서 유출되었으며, 다양한 레지스트리에서 60개 이상의 패키지가 영향을 받았습니다.
Python 생태계의 공급망 취약점
LLM API 프록시인 LiteLLM은 AI 애플리케이션에 핵심적입니다. 이번 공격은 다음과 같은 위험을 강조합니다:
- 검증 없이 오픈 패키지에 의존;
- 설치 중 샌드박싱 부재;
- 대규모 배포 규모(월 9,700만 설치).
개발자들은 다음을 권장합니다:
- 설치 전 패키지 해시 검증;
- 고정 버전의 가상 환경 사용;
- Dependabot나 Snyk 같은 도구로 의존성 모니터링;
- SLSA 프레임워크를 사용한 공급망 감사.
주요 교훈
- 위협 규모: 한 유출된 의존성이 LiteLLM을 LLM 게이트웨이로 사용하는 수천 개 AI 프로젝트에 영향을 미쳤습니다.
- 기술 세부 사항: 맬웨어는
pip install중.pth메커니즘으로 런타임 import 없이 시크릿을 훔쳤습니다. - 대응: PyPI가 패키지를 삭제하고 LiteLLM이 감사를 진행 중; Mercor가 포렌식 전문가를 고용.
- 더 넓은 맥락: TeamPCP 캠페인이 npm 포함 60개 이상 패키지를 타격.
이 사건은 AI 인프라 공급망 보안에서 제로 트러스트 접근의 필요성을 강조합니다.
— Editorial Team
아직 댓글이 없습니다.