金色财经の報道によると、3月25日、慢雾科技の最高情報セキュリティ責任者23pdsが明らかにしたところによると、月間ダウンロード数が9700万回に達するPython AIゲートウェイライブラリLiteLLMがPyPIのサプライチェーン攻撃に遭った。攻撃者はpip install litellmコマンドを通じて、ユーザーのデバイス上から機密情報を窃取できる。窃取可能な機密データには、SSHキー、クラウドサービスの認証情報(AWS/GCP/Azure)、Kubernetes設定ファイル、Git認証情報、環境変数内のAPIキー、シェル履歴、暗号通貨ウォレット情報、データベースのパスワードなどが含まれる。
