월간 다운로드 횟수가 9500만 건을 상회하는 LiteLLM, 공급망 공격 당하다

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

 

1. 개요

2026년 3월 24일, PyPI(Python Package Index)에 업로드된 인기 오픈소스 라이브러리 LiteLLM에서 악성코드가 발견되었다. 해당 라이브러리는 월간 다운로드 횟수가 9,500만 건을 상회하는 대규모 프로젝트다. 조사 결과, GitHub 저장소의 소스 코드와 달리 PyPI 배포판(Wheel 파일)에만 악성 코드가 삽입된 것으로 확인되었다.

공격 주체는 'TeamPCP'로 자칭하는 해킹 그룹으로 추정된다.

 

2. 영향 범위 및 대상 버전

- LiteLLM 1.82.7 및 1.82.8

1.82.8 버전의 경우 .pth 파일을 악용하여, 사용자가 라이브러리를 직접 호출하지 않아도 파이썬 인터프리터 실행 시 악성 코드가 자동으로 로드되도록 설계되었다.

 

3. 주요 공격 메커니즘

공격자는 시스템 침투 후 다음과 같은 다단계 공격을 수행한다.

 

1) 시스템 내 저장된 SSH 키, 클라우드 서비스 토큰(AWS, GCP, Azure), Kubernetes 시크릿, 암호화폐 지갑 정보, .env 설정 파일 등 자격증명 을 탈취한다.

2) 모든 노드에 접근 권한을 가진 Pod를 배포하여 Kubernetes 클러스터 전체로 공격 범위를 확장한다. 즉, 권한 상승을 발생시킨뒤 횡적 이동을 한다.

3) systemd 백도어를 설치하여 시스템 재부팅 후에도 추가 바이너리를 주기적으로 확인하고 공격자의 제어 권한을 유지한다.

4) 탈취된 데이터는 암호화 과정을 거쳐 공격자가 제어하는 외부 도메인으로 전송된다.

 

4. 권장 대응 조치

- 현재 사용 중인 LiteLLM 버전을 확인하여 1.82.7 또는 1.82.8 설치 여부를 전수 조사한다. 발견 시 즉시 해당 패키지를 삭제하고 안전한 이전 버전(1.82.6 이하)이나 공식 패치된 최신 버전으로 교체한다.

- 감염된 버전을 사용한 이력이 있는 경우, 해당 환경에서 접근 가능했던 모든 API 키, SSH 키, 클라우드 자격 증명을 유출된 것으로 간주하고 즉시 갱신(Rotation)한다.

- 비정상적인 외부 도메인 통신 및 systemd 서비스 내 등록되지 않은 프로세스 존재 여부를 정밀 분석한다.(시스템 모니터링)

 

 

보안 컨설팅 관점에서 볼 때, 이번 사례는 신뢰받는 오픈소스 배포 채널을 겨냥한 전형적인 공급망 공격이다.

라이브러리 사용 뿐만 아니라 빌드 및 배포 단계에서의 무결성 검증이 필수적임을 시사한다.

 

https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/

How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM | Snyk

https://securitylabs.datadoghq.com/articles/litellm-compromised-pypi-teampcp-supply-chain-campaign/

LiteLLM and Telnyx compromised on PyPI: Tracing the TeamPCP supply chain campaign | Datadog Security Labs

https://socprime.com/ko/active-threats/litellm-%EA%B3%B5%EA%B8%89%EB%A7%9D-%EA%B3%B5%EA%B2%A9/

LiteLLM 공급망 공격: PyPI 버전 1.82.7–1.82.8