AI開発基盤LiteLLMがサプライチェーン攻撃で侵害——TeamPCPによるPyPI汚染でAIインフラ全体に認証情報流出リスク

2026年3月30日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「pip installで導入したAIライブラリ、本当に安全なんでしゅか？」
「GitHubのコードは確認したけど、PyPIのパッケージが汚染されることってあるんでしゅか……」

チップス

ボス、LiteLLMっていうAIのライブラリがサプライチェーン攻撃を受けたって聞いたんでしゅ！どういう仕組みで侵害されたんでしゅか？

ボス

CI/CDパイプラインを起点にした多段階の攻撃だ。Trivyのセキュリティスキャナを汚染したTeamPCPが、そのCI/CDを使うLiteLLMのPyPI認証情報を盗み出し、悪意あるパッケージを公開した。「GitHubは正常でも、PyPIは汚染されている」という盲点を突いた手口だ。

AI開発で広く使われるライブラリが、ソースコードは正常なままでPyPIの配布パッケージだけ汚染されるという手口が現実のものとなりました。
月間数千万回ダウンロードされるLiteLLMへの攻撃は、AIエコシステム全体が標的になりうることを示しています（eSecurity Planet）。
この記事では、攻撃の仕組みと、AI開発者が今すぐ確認すべき対策を解説します。

AIゲートウェイLiteLLMのPyPIパッケージがTeamPCPの攻撃でマルウェア混入（2026年3月24日）
GitHubリポジトリは正常なままで、PyPI配布パッケージのみが汚染される手口
SSHキー・クラウド認証情報・Kubernetes設定・APIキーなどが窃取対象

攻撃チェーンの全体像を把握することで、AI開発環境のセキュリティリスクを正しく評価できます。

事件の概要：TriviからLiteLLMへと連鎖した多段階攻撃

今回の攻撃は、同じ攻撃グループTeamPCPによる連鎖的なサプライチェーン侵害です。

Trivy CI/CD侵害からPyPI汚染に至った攻撃の流れ

攻撃は2026年3月19日、オープンソースのセキュリティスキャナ「Trivy」のGitHub Actionが改ざんされることから始まりました。
3月24日、LiteLLMのCI/CDパイプラインが改ざんされたTrivy GitHub Actionを実行したことで、GitHubのActionsランナーからPyPI公開用トークンが窃取されます。
攻撃者はそのトークンを使って、通常のCI/CDを経由せずに直接PyPIへ悪意あるバージョン（1.82.7および1.82.8）を公開しました。

このサプライチェーン攻撃の流れをまとめると以下の通りです。

3月19日：TeamPCPがTrivy GitHub Actionを改ざん（悪意あるv0.69.4を指定）
3月24日：LiteLLMのCI/CDが改ざんTriviを実行、PyPIトークンを窃取
3月24日：悪意あるLiteLLM（v1.82.7/v1.82.8）がPyPIに公開、約3時間で隔離

悪意あるバージョンはPyPIが約3時間で隔離しましたが、その間にインストールした開発者の環境は被害を受けた可能性があります。
重要なのは、GitHubのソースコードを確認しても汚染に気づけないという点で、従来の「ソースコードを見て判断する」という安全確認が機能しません。

攻撃手口と被害：AI開発環境が丸ごと侵害されるリスク

汚染されたパッケージには、3段階の実行チェーンが仕込まれていました。

AIインフラ全体に及ぶ認証情報流出と永続バックドアの危険

チップス

「3段階の実行チェーン」って……具体的に何をされるんでしゅか？

ボス

まず認証情報を一括収集し、次にKubernetes環境に横展開し、最後にバックドアを仕込む。一度感染すると、パッケージを削除しても攻撃者のアクセスが継続する可能性がある。

汚染されたLiteLLMパッケージが実行すると、まず.envファイル・SSHキー・クラウド認証情報・Kubernetes設定・APIキーなどの機密情報を収集して流出させます。
続いてKubernetes環境への横展開を試み、最後にシステムレベルのバックドアをインストールして永続的なアクセスを確立します。
AI開発環境では複数のLLMプロバイダーAPIキーやクラウドリソースへのアクセス権が集約されており、一度の感染で広範な被害が発生します。

AI開発者・MLエンジニアが今すぐ確認すべき対応です。

該当するLiteLLM（v1.82.7/v1.82.8）環境における、全APIキーおよびクラウドクレデンシャルのローテーションを実施する
CI/CDパイプラインのGitHub Actionのバージョンをコミットハッシュで固定する（タグ指定はNG）
依存パッケージのハッシュ検証（pip install –require-hashes）を導入する

TeamPCPはTrivy・Checkmarx・Open VSX・LiteLLM・Telnyxと連鎖的に攻撃を拡大しており、AI開発ツールチェーン全体が標的になっています。
「人気のOSSだから安全」という前提は、もはや成立しません。

まとめ：AI開発環境のサプライチェーンセキュリティを今すぐ見直す

LiteLLMへのサプライチェーン攻撃は、AIエコシステムを支えるライブラリが攻撃者の新たな標的となっていることを明確に示しています。
GitHubのソースコードが正常でも、PyPI配布パッケージが汚染される可能性を常に意識する必要があります。
CI/CDパイプラインのGitHub Actionバージョン固定と、依存パッケージのハッシュ検証は、今日から取り組める最も効果的な対策です。