LiteLLM Supply Chain Attack: How TeamPCP Backdoored AI Infrastructure

Context

litellm는 OpenAI, Anthropic, Google, AWS Bedrock 등으로 트래픽을 라우팅하는 범용 LLM 프록시 게이트웨이로 3.6백만 건의 일일 다운로드 규모와 Kubernetes 클러스터 전역 배포로 인해 모든 주요 AI 제공자의 API 키, 클라우드 IAM 자격증명, Kubernetes 시크릿을 중앙화된 단일 컴포넌트에 집중시켰다.

Technical Solution

• 공급망 계단식 침해: Aqua Trivy GitHub Action 태그를 March 19에 손상시킨 후 CI/CD 환경변수(PYPI_PUBLISH 토큰) 탈취로 직접 PyPI 퍼블리싱 접근권 획득
• 보안 도구 우선 침해: 보안 도구 자체(Trivy, Checkmarx KICS)를 공격 벡터로 전환해 탐지 비활성화와 상위 공급망 침투를 동시 달성
• 다단계 페이로드 주입: 버전 1.82.7은 proxy_server.py 모듈 스코프에 base64 인코딩된 12KB 페이로드를 임포트 시점에 실행, 버전 1.82.8은 litellm_init.pth 파일 추가로 Python 인터프리터 시작 시점마다 실행되도록 진화
• 광범위 자격증명 수집: Cardano 서명 키, WireGuard 설정 등 15개 이상 범주의 자격증명 수집기로 15개+ 카테고리 대상
• 교차 에코시스템 캠페인: March 19-24 5일간 Aqua Trivy → Checkmarx KICS → npm 66+ 패키지 → OpenVSX → PyPI 순서로 확대

Impact

• 노출 윈도우: 약 5.5시간 (March 24 10:39 UTC ~ 약 16:00 UTC)
• litellm 1.82.7과 1.82.8 두 버전이 13분 간격으로 퍼블리시됨
• 5일 동안 5개 에코시스템(Trivy, KICS, npm, OpenVSX, PyPI) 침해

Key Takeaway

CI/CD 파이프라인에서 보안 도구 참조 시 뮤터블 태그(최신 버전) 대신 핀된 커밋 SHA를 사용해야 하며, 보안 스캐너 자체를 공격 기반시설 수준으로 취급해 서명·모니터링을 하지 않으면 공격자가 보안 도구를 디텍션 우회 및 권한 상승의 지렛대로 활용할 수 있다.