기술 설명
2026년 3월 PyPI 공급망 공격 이후 liteLLM 유지보수자들이 두 개의 높은 심각도 문제(모두 유효한 프록시 API 키 필요)를 공개했으며, 강화된 CI/CD v2 파이프라인, 격리된 빌드 환경, 그리고 더 엄격한 릴리스 게이팅을 포함한 v1.83.0을 출시했습니다.
공격 경로
공급망(트로잔화된 PyPI 패키지, 3월); 인증된 프록시 결함(현재 공개).
영향받는 시스템
2026년 3월 1~15일경 사이에 손상된 버전을 설치한 LiteLLM 사용자들; 현재 문제는 유효한 프록시 API 키 필요.
완화 방안
litellm_init.pth 손상 지표 확인; 잠재적으로 노출된 비밀번호 순환; v1.83.0 이상으로 업그레이드; 의존성 검증 및 CI/CD 접근 제어 추가.