#pypi

TrapDoorは5月22日以降、npm、PyPI、Crates.ioに34個超の悪性パッケージを広げた。注目点は認証情報の窃取だけでなく、.cursorrulesやCLAUDE.mdを使ってAIコーディング支援ツールまで攻撃経路に入れたことだ。

HNが強く反応したのはShai-Huludのネタではなく、importの瞬間から始まる感染経路だった。学習コードで普通に使われる2つのバージョンが、認証情報とクラウド秘密を盗み、リポジトリ汚染まで狙った点が重かった。

FutureSearchのincident transcriptがHacker Newsで広がった。悪性LiteLLM packageがどのようにtransitive dependency経由で入り、72分で特定と隔離まで進んだかを具体的に示したからだ。

Hacker Newsは、LiteLLM 1.82.7/1.82.8のPyPI版がimportなしでも悪性コードを実行しうるというBerriAIの警告を広め、即時のcredential rotationを促した。

LocalLLaMAの警告により、改ざんされたPyPI wheelがPython起動時にcredential stealerを実行するという深刻なLiteLLMサプライチェーン事故が表面化した。

HNがAnswer.AIのPyPI分析に食いついたのは、不都合な問いに数字を与えたからだ。AIはAI tool内部のiterationを速めているかもしれないが、多くの人が想像したbroadなsoftware boomは公開package dataではまだ見えにくい。

急速に伸びたHN threadは、LiteLLM incidentを単なるpackage事故より大きく捉えた。AI developer infrastructureもいまやcloud infraと同じsupply-chainリスクを抱える一方、dependency disciplineは緩く、secret surfaceはさらに大きいという見立てだ。