AI 요약
인기 오픈소스 LLM 라이브러리인 'litellm'의 1.82.8 버전(및 1.82.7)에서 치명적인 보안 침해 사고가 발생했습니다. PyPI에 업로드된 해당 버전의 휠(wheel) 패키지에는 litellm_init.pth라는 악성 파일이 포함되어 있으며, 이는 사용자가 import litellm을 실행하지 않더라도 파이썬 인터프리터가 시작될 때마다 자동으로 악성 스크립트를 실행하는 구조를 가지고 있습니다. 이 스크립트는 이중 Base64 인코딩된 페이로드를 통해 시스템 정보부터 AWS, Azure, GCP 등의 클라우드 자격 증명, SSH 키, 쿠버네티스 설정 등 광범위한 민감 데이터를 수집합니다. 특히 환경 변수에 포함된 모든 API 키와 암호화폐 지갑 정보까지 탈취 대상으로 삼고 있어 사용자에게 심각한 피해를 줄 수 있는 공급망 공격으로 분류됩니다. 현재 BerriAI 팀은 해당 이슈(#24518)를 통해 긴급 대응을 진행 중입니다.
핵심 인사이트
- 공격 대상 및 버전: PyPI(Python Package Index)에 배포된
litellm1.82.8 버전 휠 패키지에서 악성 코드 확인. - 자동 실행 메커니즘: 34,628바이트 크기의
litellm_init.pth파일이 파이썬 인터프리터 구동 시 자동으로 실행되는 취약점을 악용. - 침해 시점: 해당 보안 위협은 2026년 3월 24일 'isfinne' 사용자에 의해 GitHub 이슈 #24512로 최초 보고됨.
- 탈취 데이터 범위: 시스템 정보, API 키(환경 변수), SSH 키, AWS/GCP/Azure 자격 증명, 쿠버네티스(K8s) 비밀 정보, 암호화폐 지갑 및 SSL/TLS 개인 키 등.
주요 디테일
- 악성 파일 식별: 패키지 내 RECORD 파일에 포함된
litellm_init.pth의 SHA256 해시값은ceNa7wMJnNHy1kRnNCcwJaFjWX3pORLfMh7xGL8TUjg로 확인됨. - 페이로드 분석:
subprocess.Popen을 이용해 백그라운드에서 실행되며, 내부에 포함된 Python 코드는 이중 Base64 인코딩으로 탐지를 회피함. - 클라우드 및 인프라 공격: AWS(~/.aws/credentials), GCP(~/.config/gcloud), Azure(~/.azure/) 설정 및 쿠버네티스 서비스 계정 토큰을 직접 조준함.
- 개발 도구 노출: Git 자격 증명(~/.git-credentials), Docker 설정 파일, npmrc, 쉘 히스토리(~/.bash_history 등)를 통해 추가적인 침투 경로를 확보함.
- 지갑 및 보안 키: 비트코인, 이더리움, 솔라나 등 다양한 암호화폐 지갑 경로와
/etc/하위의 SSL/TLS 개인 키 탈취 시도 구문이 포함됨.
향후 전망
- 긴급 조치 요구: 해당 버전을 설치한 사용자는 즉시 패키지를 삭제하고 모든 API 키, 비밀번호 및 인증 토큰을 무효화한 뒤 재생성해야 함.
- 공급망 보안 강화: PyPI 등 공용 패키지 저장소에서
.pth파일의 자동 실행을 악용한 공격 사례가 확인됨에 따라, 패키지 검증 시스템의 대대적인 개선이 요구될 것으로 보임.
출처:hackernews