LiteLLM 1.82.7 및 1.82.8 PyPI 패키지 침해 사건

Context

LiteLLM의 CI/CD 파이프라인에서 사용된 trivy에서 자격증명이 탈취되어 v1.82.7, v1.82.8 패키지에 악성 코드가 주입되었다. 침해된 패키지는 암호화폐 지갑 탐색(grep -r rpcuser\rpcpassword)과 credential stealer 설치를 시도했으며, PyPI에서 즉시 격리 조치되었다.

Technical Solution

• 침해된 자격증명 전면 교체: GitHub, Docker, CircleCI, pip의 모든 maintainer 계정과 API 키 재발급
• 악성 패키지 격리: PyPI에서 v1.82.7, v1.82.8 다운로드 차단 및 패키지 삭제
• 영향도 진단 스크립트 배포: conda, .venv, uv, 시스템 환경에서 설치된 LiteLLM 버전을 빠르게 스캔하는 Go 바이너리 제공
• 개발 환경 보안 강화 계획: Dev container를 sandbox 기반 아키텍처로 전환하여 VM 수준의 격리, egress 필터, seccomp, gVisor 방어 계층 도입
• 공급망 검증 체계 구축: Dockerfile에서 버전 고정을 통한 proxy 방어(proxy docker 사용 시 영향 없음) 및 deterministic 빌드 체인 도입 검토

Impact

아티클에 명시된 정량적 수치가 없음.

Key Takeaway

오픈소스 프로젝트의 CI/CD 자격증명 탈취는 패키지 저장소 전체를 무기화하므로, 단순 버전 고정만으로는 부족하며 VM 수준의 격리와 암호학적 검증 가능성을 갖춘 공급망 아키텍처 재설계가 필수다. 특히 LLM 기반 자동화 공격이 광범위해지면서 공급망 복잡성(Rust 깊은 의존성 트리, Python/Node 다층 레이어)으로 인한 전체 코드 검증은 현실적으로 불가능하므로 egress 필터와 honeypot 감지 같은 방어 중심의 아키텍처가 중요하다.