2026年3月24日、AIエージェント開発の現場で広く使われているPythonライブラリ「LiteLLM」がサプライチェーン攻撃を受けました。

本記事では、今回の攻撃の概要と、JFrog XrayとJFrog Curationを使った具体的な対処方法をご紹介いたします。

攻撃の概要

攻撃グループ「TeamPCP」が、Trivyの脆弱性を起点にCI/CDの認証情報を窃取しました 。この資格情報を悪用してLiteLLMメンテナーのPyPIアカウントを掌握し、悪意あるバージョン（v1.82.7 / v1.82.8）を直接アップロード 。GitHub上のタグすら存在しない、正規リリースフローを完全にバイパスした極めて巧妙な手口です 。

影響範囲

Pythonの .pthファイルを悪用し、importを書かなくてもPython起動時に自動でマルウェアが実行されます。SSH鍵、AWS/GCP/Azure認証情報、データベースパスワードなどを収集し、外部サーバーへ送信します。Kubernetes環境では全シークレットの読み取りと、各ノードへのバックドア設置を試みます。

バージョン指定なしで、pip install litellmを実行した環境は、影響を受けた可能性があります。

今回の事件で浮き彫りになったのは、悪意あるパッケージが開発環境に入り込んだ時点で「手遅れ」であるという冷酷な事実です。

回避不能な実行: .pth ファイルを悪用した攻撃は、Python起動時に自動実行されるため、従来のインポートフックやガードをすべてすり抜けます。

インストールの瞬間が終着点: pip install を実行した瞬間に勝負はついており、その後の検知では被害を防げません。

だからこそ、パッケージが環境に到達する「前」の流入阻止と、到達した「直後」の即時遮断を組み合わせた、徹底した多層防御の仕組みが不可欠なのです。

JFrogでは、この2つのフェーズをそれぞれ Curation（流入防止） と Xray（検知・隔離） でカバーしています。

対策①：JFrog Xrayで既存環境を調査する

今回の攻撃には、Xrayの脆弱性ID 「XRAY-955589」 が割り当てられています。

手順：

1. Xrayのデータベースが最新であること、すべての対象リポジトリのインデックスが完了していることを確認。
2. XrayのUIで「XRAY-955589」を検索。
3. 該当があれば、 パッケージを削除するか、Block Downloadポリシーを適用して組織内での拡散を防止する。

上記の方法以外に、パッケージ名やVersionで直接検索することも可能です。

対策②：JFrog Curationで新たな流入を防ぐ

Xrayが「すでに入ったものを検知する」仕組みであるのに対し、Curationはそもそも入れさせない仕組みです。JFrog Curationは、オープンソースソフトウェア（OSS）が社内の開発環境に「入る前」に、悪意のあるパッケージやリスクの高いコンポーネントを自動で検知・ブロックするソリューションです。
従来のスキャンツールが「入ってきたものをスキャンする」のに対し、Curationは「玄関口（ゲート）で門前払いする」役割を担います。
下記の図における「0」の位置付けです。

公開レジストリからのパッケージ取得時に、悪意あるパッケージをゲートウェイでブロックします。今回のLiteLLMの侵害バージョンは、すでにJFrogのCatalog上でフラグ付け済みです。

Curationが有効な環境では、悪意あるパッケージに対する保護を直ちに有効化してください。
設定方法の詳細については、以下の記事をご参照ください。

関連記事npmソフトウェアサプライチェーン攻撃から学んだJFrog Curationの実践編

2026.03.24

まとめ

今回の攻撃で改めて明らかになったのは、パッケージが環境に到達してからでは遅いということです。

Xrayで既存環境を調査し、侵害パッケージを検知・隔離する
Curationで公開レジストリからの流入を事前にブロックする

この二段構えが、サプライチェーン攻撃への実効的な備えになります。

「自社環境の影響を確認したい」「導入を検討したい」という方は、お気軽にご相談ください。

👉 お問い合わせはこちら