본문으로 건너뛰기
J
피드

LiteLLM 1.82.8 파이썬 패키지 공급망 공격 당함 — SSH키, AWS 크레덴셜 전부 털림

security 약 6분
tags
#security#vulnerability#python
vote
0
댓글
북마크

PyPI에 올라온 litellm==1.82.8 버전에 악성 .pth 파일이 심어진 게 확인됨. import도 필요 없이 파이썬 인터프리터 시작할 때마다 자동 실행되면서 SSH 키, 환경변수, 클라우드 크레덴셜 싹 다 수집해서 외부 서버로 빼돌리는 구조임. 공급망 공격(supply chain attack) 맞고, 영향 받은 사람은 즉시 크레덴셜 교체해야 함.

  • 1

    litellm==1.82.8에 악성 .pth 파일 포함 — import 없이 파이썬 시작 시 자동 실행

  • 2

    SSH 키·환경변수·AWS/GCP/쿠버네티스·암호화폐 지갑까지 전방위 크레덴셜 탈취

  • 3

    AES-256+RSA-4096 암호화 후 위장 도메인(litellm.cloud)으로 데이터 외부 전송

  • litellm==1.82.8 PyPI 패키지에 악성 .pth 파일(litellm_init.pth) 포함 확인
  • import litellm 없어도 파이썬 시작할 때마다 자동 실행되는 구조 (.pth 파일 특성 악용)
  • SSH 키, 환경변수(API 키 포함), AWS/GCP/Azure 크레덴셜, 쿠버네티스 시크릿, 암호화폐 지갑까지 전방위 수집
  • 수집한 데이터는 AES-256 + RSA-4096으로 암호화 후 https://models.litellm.cloud/ (공식 도메인 아님)으로 전송
  • 로컬 개발 환경, CI/CD 파이프라인, 도커 컨테이너, 프로덕션 서버 모두 영향

상세 내용

뭐가 문제임?

공급망 공격(Supply Chain Attack)으로, PyPI에 올라간 litellm==1.82.8 휠 패키지 안에 악성 파일 litellm_init.pth (34,628 bytes)가 포함됨. 이 파일은 패키지 자체 RECORD에도 버젓이 등록되어 있음 ㄷㄷ.

.pth 파일은 파이썬 인터프리터가 시작될 때 site-packages/ 폴더에서 자동으로 실행되는 특성이 있어서, import litellm 한 줄도 없어도 그냥 실행됨. 설치만 해도 당하는 구조.

악성 페이로드 동작 방식

페이로드는 이중 base64 인코딩으로 숨겨져 있어서 단순 grep으로는 탐지 안 됨.

Stage 1 — 정보 수집 (진짜 무섭게 다 털어감)

  • 시스템 정보: hostname, whoami, uname -a, ip addr, ip route
  • 환경변수 전체: printenv 실행 → API 키, 시크릿, 토큰 싹 다
  • SSH 키: id_rsa, id_ed25519, authorized_keys, known_hosts, config
  • Git 크레덴셜: ~/.gitconfig, ~/.git-credentials
  • AWS 크레덴셜: ~/.aws/credentials, ~/.aws/config, IMDS 토큰 + 보안 자격증명
  • 쿠버네티스 시크릿: ~/.kube/config, 각종 conf 파일, 서비스 어카운트 토큰
  • GCP/Azure 크레덴셜: gcloud 기본 크레덴셜, ~/.azure/ 전체
  • 도커 설정: ~/.docker/config.json, kaniko 설정 포함
  • 패키지 매니저 설정: .npmrc, .netrc, .pgpass, .my.cnf, .mongorc.js
  • 셸 히스토리: bash, zsh, mysql, psql, redis 히스토리
  • 암호화폐 지갑: 비트코인, 이더리움, 솔라나, 카르다노 등 주요 코인 지갑 전부
  • SSL/TLS 프라이빗 키: Let's Encrypt .pem, .key 파일
  • CI/CD 시크릿: terraform.tfvars, .gitlab-ci.yml, Jenkinsfile, .travis.yml
  • DB 크레덴셜: PostgreSQL, MySQL, Redis, LDAP 설정
  • 웹훅 URL: Slack/Discord 웹훅 URL grep

Stage 2 — 암호화 및 외부 전송

수집된 데이터를 임시 파일에 저장한 뒤:

  1. openssl rand32바이트 AES-256 세션 키 생성
  2. 데이터를 openssl enc -aes-256-cbc -pbkdf2로 암호화
  3. 세션 키를 하드코딩된 4096-bit RSA 공개키로 암호화 (OAEP 패딩)
  4. 두 파일을 tpcp.tar.gz로 패킹
  5. https://models.litellm.cloud/로 전송 (공식 도메인 litellm.ai아님 — 주의)

영향 범위

litellm==1.82.8을 설치한 모든 환경 해당:

  • 로컬 개발 머신
  • CI/CD 파이프라인
  • 도커 컨테이너
  • 프로덕션 서버

다른 버전도 아직 확인 안 됨 → 공격자가 여러 버전을 건드렸을 가능성 있음.

지금 당장 해야 할 것

  1. site-packages/ 디렉토리에서 litellm_init.pth 파일 확인 및 삭제
  2. litellm==1.82.8이 설치된 적 있는 모든 시스템에서 크레덴셜 전부 교체 (환경변수, SSH 키, 클라우드 크레덴셜 포함)
  3. PyPI에서 해당 버전 즉시 yanked 처리 요청
  4. BerriAI는 PyPI 퍼블리싱 크레덴셜 및 CI/CD 파이프라인 전체 감사 필요

LLM 관련 개발 툴이 워낙 빠르게 퍼지다 보니 공급망 공격 타깃으로 딱임 — litellm 쓰는 AI 스타트업이나 ML 엔지니어 환경엔 API 키가 넘쳐나니까 공격자 입장에선 황금 광산이었을 듯. 오픈소스 패키지 설치할 때 버전 고정(pinning) + 해시 검증은 이제 선택이 아닌 필수임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

공공 보안 규제가 클라우드 보안을 막는다는 국내 업계의 경고

국내 보안업계가 공공 부문의 경직된 규제 때문에 SASE와 SECaaS 같은 클라우드 기반 보안 서비스 도입이 막히고 있다고 비판했다. 금융권과 민간 시장은 SaaS·클라우드 보안을 받아들이는 반면, 공공 시장은 여전히 구축형 장비 중심이라 국내 보안 기업의 경쟁력까지 약화된다는 지적이다.

security

F5 “기업 94%가 하이브리드 멀티클라우드…AI 시대엔 앱 보안 일관성이 경쟁력”

F5코리아가 하이브리드 멀티클라우드와 AI 도입이 동시에 커지는 환경에서 애플리케이션 전송·보안 플랫폼 전략을 공개했다. 기업의 94%가 평균 19개 위치에 인프라를 분산 운영하고, 웹 공격은 77%, 봇 활동은 150% 증가했다는 수치를 근거로 일관된 보안과 AI 기반 방어 체계를 강조했다.

security

F5, 멀티클라우드 보안 플랫폼을 AI 에이전트와 추론 인프라까지 확장

F5가 애플리케이션 전송·보안 플랫폼을 하이브리드 멀티클라우드뿐 아니라 AI 모델, 에이전트, 추론 인프라까지 관리하는 방향으로 확장한다. 핵심은 프런트 도어, 오케스트레이션, 추론 단계마다 보안과 전송 정책을 일관되게 적용하는 것이다.

security

스패로우, AI가 짠 코드 바로 검사하는 MCP 보안 도구 출시

스패로우가 AI 코딩 에이전트가 만든 코드를 개발 단계에서 바로 점검하는 ‘스패로우 MCP’를 출시했다. 클로드 코드, 커서 같은 도구와 연동해 소스코드 취약점, 오픈소스 라이선스, 공급망 리스크, SBOM 생성을 IDE 안에서 처리하는 방향이다. AI 코딩이 빨라질수록 보안 검사를 뒤로 미루기 어렵다는 흐름을 보여준다.

security

스패로우, AI가 짠 코드 바로 취약점 검사하는 ‘스패로우 MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드를 IDE 안에서 즉시 분석하는 보안 어시스턴트 ‘스패로우 MCP’를 출시했다. 모델 컨텍스트 프로토콜을 기반으로 취약점 검증, 오픈소스 컴포넌트 식별, 라이선스 확인, SBOM 자동 생성을 개발 흐름에 붙이는 제품이다.