またサプライチェーン攻撃かよ。Python環境の自衛ハードル上がりすぎだろ
minimumReleaseAge的な仕組みはもうどのパッケージマネージャでも入れてほしいし、デフォルトで3日くらいの値で有効にしといてほしい
とりあえず入ってなかったので一安心。プロキシ的なアプローチはプロキシが汚染される可能性まで考えるとキリがなさそうではある。検疫期間は今後必要になるのかもね(みんな入れたら人柱がいなくなる?)
マジかー。ちょうどLiteLLM試してるところだっつの
LiteLLMがPyPIで侵害され1.82.7/1.82.8にマルウェア混入。SSH鍵やクラウド認証情報を収集し外部送信、バックドア常駐も。即アンインストールとクレデンシャル更新が必要。
“LiteLLM の PyPI パッケージが侵害されました。攻撃者は PyPI のメンテナアカウント(krrishdholakia)を乗っ取り、クレデンシャル窃取・Kubernetes 対象のラテラル・永続化マルウェアを含むバージョン 1.82.7 および 1.82.8 を公開”
2026年3月24日の LiteLLM 侵害の概要と対応指針
またサプライチェーン攻撃かよ。Python環境の自衛ハードル上がりすぎだろ
minimumReleaseAge的な仕組みはもうどのパッケージマネージャでも入れてほしいし、デフォルトで3日くらいの値で有効にしといてほしい
とりあえず入ってなかったので一安心。プロキシ的なアプローチはプロキシが汚染される可能性まで考えるとキリがなさそうではある。検疫期間は今後必要になるのかもね(みんな入れたら人柱がいなくなる?)
マジかー。ちょうどLiteLLM試してるところだっつの
LiteLLMがPyPIで侵害され1.82.7/1.82.8にマルウェア混入。SSH鍵やクラウド認証情報を収集し外部送信、バックドア常駐も。即アンインストールとクレデンシャル更新が必要。
“LiteLLM の PyPI パッケージが侵害されました。攻撃者は PyPI のメンテナアカウント(krrishdholakia)を乗っ取り、クレデンシャル窃取・Kubernetes 対象のラテラル・永続化マルウェアを含むバージョン 1.82.7 および 1.82.8 を公開”