litellm 1.82.8 버전에 포함된 악성 .pth 파일이 Python 프로세스 시작 시 자동 실행되어, 민감 정보를 수집하고 외부 서버로 전송하는 심각한 보안 위협이 발견되었습니다.

이 악성코드는 SSH 키, 클라우드 자격 증명, 데이터베이스 비밀번호 등을 탈취하며, Kubernetes 환경에서는 클러스터 비밀 정보를 조회하고 권한 상승을 시도해 지속적인 백도어를 설치합니다.

영향을 받은 사용자는 즉시 해당 버전을 제거하고 캐시를 정리하며, 시스템 내 sysmon.py 백도어와 관련 서비스 존재 여부를 확인해야 합니다.

또한, 모든 관련 자격 증명을 교체하여 추가 피해를 방지해야 하며, PyPI와 litellm 유지보수팀에 이미 보고된 상태입니다.