كشفت تقارير أمنية حديثة عن تعرض حزمة Python الشهيرة LiteLLM لاختراق خطير، حيث نشر مهاجمون نسختين خبيثتين تحملان أرقام 1.82.7 و1.82.8. ويأتي ذلك ضمن حملة واسعة تستهدف سلاسل التوريد البرمجية، ما يثير مخاوف كبيرة لدى الشركات والمطورين حول العالم.
كيف بدأ الهجوم؟
بدأت القصة عندما نجح فريق يُعرف باسم TeamPCP في استغلال أداة الفحص الأمني Trivy داخل بيئات التكامل المستمر والتسليم المستمر (CI/CD). وبعد ذلك، تمكن الفريق من إدخال كود خبيث داخل الحزمة، ما سمح بتنفيذه تلقائيًا بمجرد استخدام المكتبة.
وعلى عكس الهجمات التقليدية، لم يحتج المهاجمون إلى تدخل المستخدم، حيث ينفذ الكود نفسه بمجرد استيراد المكتبة أو حتى عند تشغيل Python في بعض الحالات.
قدرات خطيرة للبرمجيات الخبيثة
احتوى الهجوم على ثلاث مراحل رئيسية. أولًا، جمع بيانات الاعتماد، حيث استهدف مفاتيح SSH وبيانات السحابة وملفات .env. ثم انتقل إلى مرحلة الحركة الجانبية داخل Kubernetes، حيث نشر Pods بصلاحيات عالية على جميع العقد.
وأخيرًا، ثبت المهاجمون بابًا خلفيًا دائمًا عبر خدمة systemd، ما يسمح لهم بالوصول المستمر إلى الأنظمة المصابة.
تسريب البيانات واستمرار الهجوم
أرسل المهاجمون البيانات المسروقة إلى خوادم خارجية عبر اتصال مشفر. وفي الوقت نفسه، اعتمدوا على آلية تحميل مراحل إضافية من الهجوم بشكل دوري، ما يجعل الاختراق مستمرًا وصعب الاكتشاف.
كما أكدت شركات أمنية أن الحملة لم تتوقف بعد، بل تتوسع لتشمل منصات أخرى مثل GitHub وDocker وnpm، وهو ما يعكس تصعيدًا واضحًا في الهجمات على البنية التحتية للمطورين.
ماذا يجب على المستخدمين فعله الآن؟
ينصح الخبراء باتخاذ عدة خطوات فورية للحد من المخاطر. أولًا، يجب مراجعة جميع الأنظمة للتأكد من عدم استخدام الإصدارات المخترقة من LiteLLM. ثم يجب عزل الأجهزة المصابة وفحص بيئات Kubernetes لاكتشاف أي نشاط غير طبيعي.
كذلك، يجب تغيير جميع بيانات الاعتماد التي قد تكون تعرضت للاختراق، مع مراجعة سجلات الشبكة بحثًا عن أي اتصالات مشبوهة. وأخيرًا، ينصح الخبراء بتدقيق خطوط CI/CD بشكل كامل لتجنب تكرار الهجوم.
تهديد متصاعد لسلاسل التوريد
تعكس هذه الحادثة تحولًا خطيرًا في أساليب الهجوم، حيث يستهدف المهاجمون الأدوات الأساسية التي يعتمد عليها المطورون. لذلك، تحتاج المؤسسات إلى تعزيز إجراءات الأمان ومراقبة سلاسل التوريد بشكل مستمر.
