تم اختراق حزمة بايثون الشهيرة LiteLLM وتعرضها لهجمات سلسلة التوريد
تعرّضت حزمة LiteLLM، وهي أداة بايثون معروفة وشعبية كبيرة، للاختراق من قبل جهات خبيثة، مما أدى إلى نشر برمجية خبيثة تجمع المعلومات (infostealer) على مئات الآلاف من الأجهزة.
ما هي LiteLLM؟
تعد LiteLLM طبقة واجهة برمجة تطبيقات خفيفة تسمح للمستخدمين بالتفاعل مع عدة نماذج ذكاء اصطناعي، مثل OpenAI وAnthropic، من خلال واجهة موحدة. تحظى هذه الحزمة بشعبية واسعة، حيث حصلت على أكثر من 40 ألف نجمة على منصة GitHub، وتضم أكثر من 30 ألف مساهمة.
تفاصيل الهجوم
وفقاً لخبراء أمنيين وأعضاء الفريق المسؤول عن تطوير LiteLLM، تمكن مهاجمون يدعون أنفسهم TeamPCP من اختراق حساب المشروع على GitHub، ودفع تحديثين خبيثين يحملان الإصدارات 1.82.7 و1.82.8.
انتشار البرمجية الخبيثة
تُشير التقارير إلى أن عدد المستخدمين الذين قاموا بتنزيل هذه النسخ الملوثة غير معروف بدقة، لكن بعض المصادر تقدر أن العدد قد يصل إلى نصف مليون مستخدم. ويُعتقد أن نجاح الهجوم يرجع إلى استغلال ثغرات سابقة في أدوات فحص الثغرات مثل Trivy من Aqua Security، بالإضافة إلى هجمات سابقة على صور Docker الخاصة بـAqua Security ومشروع Checkmarx KICS.
آلية الهجوم
استخدم فريق TeamPCP هجمة عبر سلسلة التوريد، حيث قاموا بنشر أداة تجسس مخصصة تُدعى “TeamPCP Cloud Stealer”، بالإضافة إلى سكريبت للحفاظ على وجودهم المستمر في الأنظمة المصابة.
وتشرح شركة Endor Labs أن الهجوم يتألف من ثلاث مراحل:
1. جمع بيانات الاعتماد مثل مفاتيح SSH، رموز السحابة، أسرار Kubernetes، محافظ العملات الرقمية، وملفات البيئة (.env).
2. محاولة الانتقال الأفقي عبر عنقود Kubernetes عن طريق نشر حاويات ذات صلاحيات عالية على كل عقدة.
3. تثبيت باب خلفي دائم باستخدام نظام systemd، يراقب ويحمل ثنائيات إضافية عند الحاجة.
نقل البيانات المسروقة
تُشفّر البيانات التي يتم جمعها وترسل إلى نطاق يسيطر عليه المهاجمون. تشمل البيانات التي يُحصل عليها القراصنة مفاتيح AWS وGoogle وMicrosoft، بالإضافة إلى مفاتيح TLS وأسرار عمليات التطوير المستمر (CI/CD).
نصائح للمستخدمين
إذا كنت قد قمت بتثبيت أحد الإصدارين الملوثين، يُنصح بسرعة تغيير جميع الأسرار، الرموز، وبيانات الاعتماد، ومراقبة حركة المرور الصادرة للارتباط بنطاقات معروفة تستخدمها الجهات الخبيثة. كما يُفضل الرجوع إلى الإصدارات الآمنة 1.82.3 أو 1.82.6 لضمان الحماية.
ختامًا
تُبرز هذه الهجمة أهمية تحديث البرمجيات بشكل دوري، واستخدام أدوات أمنية قوية، والانتباه إلى تحذيرات المجتمع الأمني لضمان حماية الأنظمة والبيانات من التهديدات المستمرة.