Harness(ハーネス)のセキュリティーリサーチチームは、2026年3月24日、広く利用されているPythonパッケージ「LiteLLM」のPyPI配布パイプラインが侵害され、悪意のあるバージョンが公開されたことを報告した。影響を受けるのは主にバージョン1.82.7〜1.82.8で、AIアプリケーションがこれらを取り込むことで、LLMプロバイダーのAPIキーやクラウドの認証情報が窃取される深刻なリスクがある。
今回の攻撃で特筆すべきは、Pythonの「.pthファイル」という、インタープリター起動時に自動処理される仕組みを悪用した点だ。攻撃者は環境内に悪意のあるファイルをドロップすることで、LiteLLMを明示的にインポートしていなくても、Pythonプロセスが起動するたびにコードを実行させる仕掛けを構築していた。さらに、指令サーバー(C2)の情報をブロックチェーンのトランザクションメタデータから取得するという極めて巧妙な手法を採用しており、攻撃者はパッケージを修正することなく動的にペイロードを更新できるため、従来のドメインブロックによる検知を困難にしていた。
また、本攻撃はPython環境下でNode.jsランタイムを密かにダウンロードし、難読化されたJavaScriptペイロードを実行するという、言語を跨ぐ実行ピボットも行っていた。これにより、Python向けのセキュリティー監視を回避しつつ、OpenAIやAnthropicといった主要LLMプロバイダーのAPIキー、クラウドクレデンシャル、内部トークンなどの機密情報を組織的に窃取しようとしていたことが判明している。
Harnessは、こうしたサプライチェーン攻撃から企業を守るための包括的な対策を提供している。Harness Supply Chain Security(SCS)を活用することで、SBOM(ソフトウェア部品構成表)のリアルタイムな可視化により、環境内のどこで問題のパッケージが使用されているかを即座に特定できる。また、自然言語のプロンプトを用いて、侵害されたバージョンをビルドやデプロイから除外するOPAポリシーを自動生成し、修正状況をエンドツーエンドで追跡することが可能だ。AIインフラの依存関係を狙う攻撃は今後も増加が予想されるため、Harnessは継続的なモニタリングと厳格なポリシー運用の徹底を強く推奨している。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
