LocalLLaMA가 경고한 LiteLLM PyPI 변조 릴리스, import 전에 실행

2026년 3월 24일 LocalLLaMA 경고 글은 심각한 Python 공급망 사고를 커뮤니티 전면으로 끌어냈다. PyPI에 올라온 LiteLLM 1.82.7과 1.82.8이 변조되었고, Python 시작 시 자동 실행되는 악성 .pth 파일이 포함됐다는 보고가 나온 것이다. 이 지점이 특히 위험한 이유는 애플리케이션이 LiteLLM을 import하기도 전에 wheel 설치만으로 코드 실행이 일어날 수 있었기 때문이다.

기술적 설명은 공개된 GitHub issue와 FutureSearch의 incident write-up이 가장 구체적이다. 해당 보고에 따르면 오염된 wheel은 litellm_init.pth를 떨어뜨리고, interpreter startup 시 credential-stealing payload를 실행했다. 대상에는 SSH key, cloud credential, .env 파일, Git 및 Docker 설정이 포함됐으며, 수집한 데이터를 models.litellm.cloud로 전송하려 한 정황이 제시됐다. 또한 Kubernetes credential과 cluster secret 접근 시도도 언급돼 developer workstation과 CI 환경에서의 위험이 더 커졌다.

• FutureSearch 타임라인에 따르면 1.82.8은 2026년 3월 24일 10:52 UTC에 PyPI에 게시됐고, 이후 1.82.7도 영향 버전으로 추가됐다.
• 공격 경로가 심각했던 이유는 .pth 파일이 Python startup 시 자동 실행되기 때문이다. 즉 import litellm이 없어도 트리거될 수 있었다.
• FutureSearch는 이후 문제 버전이 yanked 처리됐고, incident response가 진행되면서 PyPI quarantine도 해제됐다고 전했다.

이 Reddit 스레드가 중요했던 이유는 LiteLLM이 agent stack, proxy server, LLM routing layer에서 매우 흔한 연결 부품이기 때문이다. 단순한 obscure package 사고가 아니라, 이미 많은 AI 팀이 privileged environment에 배치해 둔 도구가 공격 표면이 된 셈이다. 여기에는 key, model credential, infrastructure metadata가 함께 놓여 있는 경우가 많다.

실무적 결론은 초기 공포보다 좁지만 여전히 무겁다. 공개 보고는 프로젝트 전체가 아니라 1.82.7과 1.82.8을 특정해서 지목한다. 그럼에도 해당 빌드를 설치한 팀이라면 환경이 노출됐을 가능성을 전제로 보고, 호스트에 있던 secret을 rotation하고, 그 credential을 상속받았을 수 있는 하위 시스템까지 점검하는 편이 맞다.

1차 정보: BerriAI GitHub issue, FutureSearch incident write-up. 커뮤니티 출처: LocalLLaMA 토론.