AIアプリ開発で広く使われるPythonライブラリ『LiteLLM』で、暗号資産(仮想通貨)ウォレットを含む機密情報を盗み出す不正コードが混入したことが分かりました。
2026年3月24日には、改ざんされたバージョン1.82.7と1.82.8がPyPIに公開され、隔離されるまでの46分間で4万6996回ダウンロードされており、AI開発環境そのものが暗号資産窃取の入口になり得る事例として影響が広がっています。
LiteLLM公式のセキュリティ更新とFutureSearchの分析によると、問題の公開はメンテナアカウントの不正利用によって行われました。GitHub上には対応する正規リリースやタグが存在せず、PyPIにだけ悪意ある版が出回った形です。
LiteLLMの不正版は46分で約4.7万DL
時系列でみると、最初の不正版である1.82.7は3月24日10時39分に公開されました。続いて10時52分には1.82.8が公開され、11時25分にPyPIが隔離措置を取るまで配布が続きました。FutureSearchはPyPIのダウンロードデータをもとに、この短時間で合計4万6996回の取得があったと報告しています。
問題は、影響がLiteLLMを明示的に導入した利用者だけに限られない点です。
その時間帯に`pip install`や`uv add`を実行した環境では、直接インストールした場合に加え、依存先ライブラリを通じて自動的に取り込んだケースもあり得ます。
起動時に自動実行、.pth悪用で機密情報を外部送信
1.82.7では`proxy_server.py`に不正なペイロードが埋め込まれ、1.82.8では`litellm_init.pth`が使われました。.pthファイルはPythonインタプリタの起動時に読み込まれる仕組みがあり、アプリ本体を実行しなくてもコードが自動で実行される可能性があります。
収集対象は広範で、暗号資産ウォレットの設定ファイルや秘密鍵、SSHキー、AWS、GCP、Azureの認証情報、`.env`ファイル、Kubernetes設定、環境変数、シェル履歴などが外部サーバーへ送信される挙動が確認されています。
暗号資産の保管情報だけでなく、クラウドやサーバー運用に使う資格情報まで狙われており、単発のウォレット被害にとどまらず、開発基盤全体の侵害につながるおそれがある内容でした。
参考元:futuresearch.ai
画像:shutterstock
取引手数料無料で始めるなら MEXC
3,000種類以上の銘柄に対応、最大500倍レバレッジの仮想通貨取引所
- ✓ 取引手数料無料
- ✓ 取扱銘柄3,000種類以上
- ✓ 最大レバレッジ500倍
