홈으로 돌아가기

LiteLLM의 스틸러: Python 시작 시 키 도난

LiteLLM 1.82.7 및 1.82.8 패키지에서 자격 증명 스틸러 발견, Python 실행 시 활성화. TeamPCP 공격으로 수천 개발자 영향. 모든 키 교체 및 CI/CD 감사 필요.

LiteLLM 공격 중: 스틸러가 LLM 키 도난
Advertisement 728x90

LiteLLM의 악성 코드: Python 시작 시 API 키 탈취기 활성화

LiteLLM 패키지 버전 1.82.7과 1.82.8이 수천 명의 개발자를 위험에 빠뜨렸습니다. PyPI(월 9,700만 다운로드)에서 설치된 이 패키지는 SSH 키, AWS, GCP, Azure 토큰, Kubernetes 설정, 암호화폐 지갑, 모든 환경 변수를 탈취하는 스틸러를 포함하고 있었습니다. OpenAI와 Anthropic을 포함한 100개 이상의 LLM 제공자에 대한 게이트웨이입니다. 손상된 버전은 제거되었습니다. 안전한 버전은 1.82.6입니다.

공격 메커니즘

악성 코드는 자동으로 실행되었습니다:

  • 버전 1.82.8: .pth 파일을 통해 모든 Python 시작 시 실행되며, 라이브러리가 import되지 않아도 됩니다. 어떤 스크립트 실행이든 스틸러를 활성화했습니다.
  • 버전 1.82.7: 코드에서 LiteLLM을 import할 때만 활성화됩니다.

수집된 데이터는 암호화되어 models.litellm.cloud로 전송되었습니다—litellm.ai를 사칭한 도메인입니다. 1.82.8에서는 맬웨어의 버그로 포크 폭탄이 발생했습니다: 모든 Python 실행 시 자식 프로세스를 생성해 RAM 고갈과 탐지를 초래했습니다.

Google AdInline article slot

이 침해는 IDE Cursor의 MCP 플러그인에서 전이 의존성을 통해 발생했습니다. 버그가 없었더라면 스틸러는 은밀하게 실행되었을 겁니다.

공격 귀속

이 공격은 TeamPCP 그룹과 연관되어 있습니다. 2026년 3월 한 주 동안:

  • Trivy (Aqua Security) 침해.
  • Checkmarx와 KICS.
  • LiteLLM (BerriAI).

패턴: 유지보수자 계정 해킹, 악성 버전 배포, 다단계 스틸러. BerriAI 저장소에서—"TeamPCP owns BerriAI" 커밋, 공격자에 의해 닫힌 이슈 #24512.

Google AdInline article slot

검사 및 복구 권장 사항

  • 모든 키 교체: SSH, AWS/GCP/Azure 토큰, K8s 설정, 암호화폐 지갑, 환경 변수.
  • CI/CD 확인: 버전 고정 없이 pip install litellm을 실행했다면 악성 버전을 끌어올 수 있습니다.
  • 머신 감사: 패키지가 설치된 모든 곳, 사용되지 않았더라도.
  • 모니터링: models.litellm.cloud로의 트래픽.

LiteLLM은 LLM API 키를 관리하므로 주요 표적이 됩니다.

주요 교훈

  • Python 시작 시 모든 환경 변수 탈취 (1.82.8).
  • 월 9,700만 다운로드—위협의 규모.
  • 라이브러리 import 없이 자동 활성화.
  • 개발 도구에 대한 TeamPCP 일련의 공격.
  • 아이러니: LLM 키 게이트웨이 침해.

— Editorial Team

Advertisement 728x90

다음 읽기