اختراق LiteLLM: برمجيات خبيثة تسرق بيانات المطورين

تعتبر حواسيب المطورين في الوقت الحاضر من أهم الأهداف وأكثرها قيمة في البنية التحتية للشركات التقنية. ففي هذه الأجهزة المركزية يتم إنشاء واختبار وحفظ كلمات المرور ومفاتيح التشفير التي تُستخدم يومياً عبر مختلف الخدمات، الروبوتات، وأدوات البناء البرمجي، ومؤخراً وكلاء الذكاء الاصطناعي المحليين. ومع تطور التهديدات السيبرانية، أثبتت مجموعة القراصنة المعروفة باسم TeamPCP في مارس 2026 مدى خطورة هذا الأمر. حيث نفذت المجموعة هجوم سلسلة توريد معقد ومدروس بدقة، استهدف مكتبة LiteLLM الشهيرة والمفتوحة المصدر لتطوير تطبيقات الذكاء الاصطناعي. هذا الهجوم الخطير حول أجهزة المطورين إلى منصات لجمع وسرقة البيانات الحساسة بشكل منهجي، مستغلاً وجود كلمات المرور والنصوص البرمجية السرية المحفوظة بصيغة نص عادي على الأقراص الصلبة. كيف تم اختراق LiteLLM وسرقة البيانات الحساسة؟ كان تنفيذ اختراق LiteLLM مباشراً ولكنه مدمر للغاية في نطاقه وتأثيره على مجتمع المطورين. نجح المهاجمون في اختراق الإصدارين 1.82.7 و 1.82.8 من الحزمة على منصة PyPI الرسمية، وقاموا بزرع برمجيات خبيثة متخصصة في سرقة المعلومات. تنشط هذه البرمجيات الخبيثة تلقائياً وبشكل صامت بمجرد قيام المطور بتثبيت أو تحديث الحزمة المصابة. وقد رصدت المتابعات في تيكبامين أن الهجوم استهدف بشكل أساسي استخراج المعلومات التالية من حواسيب الضحايا: مفاتيح التشفير والاتصال الآمن من نوع SSH بيانات الاعتماد السحابية لخدمات أمازون (AWS) كلمات مرور خوادم مايكروسوفت (Azure) وجوجل (GCP) إعدادات حاويات Docker وملفات التكوين الحساسة ما هي حزم بايثون المتأثرة بهجوم سلسلة التوريد؟ رغم أن فريق منصة PyPI سارع بحذف الحزم الخبيثة خلال ساعات قليلة من اكتشاف الثغرة، إلا أن نافذة الضرر كانت كبيرة جداً ومؤثرة. أظهرت التحليلات الأمنية المعمقة أن هناك 1,705 حزمة برمجية كانت مبرمجة لسحب الإصدارات المخترقة تلقائياً كجزء من تبعياتها التشغيلية. شملت قائمة الحزم المتأثرة أدوات شائعة جداً في أوساط المطورين، مما أدى إلى تأثير متسلسل خطير. ومن أبرز الحزم التي تأثرت بشكل غير مباشر: حزمة dspy: التي تحظى بمعدل 5 ملايين تحميل شهرياً حزمة opik: التي تسجل حوالي 3 ملايين تحميل شهرياً حزمة crawl4ai: التي تتجاوز 1.4 مليون تحميل شهرياً التأثير المتسلسل على بيئات العمل المؤسسية هذا التأثير المتسلسل يعني بشكل قاطع أن المؤسسات التقنية التي لم تستخدم مكتبة LiteLLM بشكل مباشر في مشاريعها، ربما تعرضت للاختراق الشامل. لقد انتقلت العدوى ببساطة بسبب التبعيات البرمجية غير المباشرة التي يتم تثبيتها تلقائياً. لماذا تستهدف الهجمات أجهزة المطورين بشراسة؟ هذا النمط المتصاعد من الهجمات ليس جديداً كلياً، لكنه أصبح أكثر وضوحاً وتنظيماً من أي وقت مضى. ففي حملات اختراق سابقة مماثلة، تم فحص آلاف الأجهزة المخترقة، ووُجد أن الأسرار البرمجية تتواجد بكثرة وبشكل غير مشفر. عند تحليل بيانات آلاف الأجهزة المخترقة، اكتشف الباحثون عشرات الآلاف من الأسرار الفريدة التي لا تزال صالحة للاستخدام. والأمر الأكثر إثارة للقلق، كما يرى خبراء تيكبامين، أن 59% من الأنظمة المخترقة لم تكن حواسيب شخصية، بل خوادم تشغيل التكامل المستمر (CI/CD). أين يبحث القراصنة عن بيانات الاعتماد؟ المهاجمون اليوم يتسللون بذكاء عبر الإضافات الخبيثة أو التحديثات المسمومة. وبمجرد وصولهم للنظام، يجمعون البيانات المحلية بنفس المنهجية التي تستخدمها فرق الأمن لاكتشاف الثغرات، مستهدفين الأماكن التالية: ملفات البيئة المخفية التي تحتوي على المتغيرات (.env) سجلات أوامر الطرفية (Terminal history) إعدادات بيئات التطوير المتكاملة (IDE) وملفات التعريف مخازن الذاكرة المؤقتة لوكلاء الذكاء الاصطناعي المدمجة في النهاية، نجحت البرمجيات الخبيثة في تحقيق أهدافها لأن أجهزة المطورين تمثل نقاط تركيز كثيفة للبيانات الحساسة والنصوص غير المشفرة. تتسرب هذه الأسرار باستمرار إلى شجرة المصدر وملفات التكوين المحلية، مما يحتم على مجتمع المبرمجين تبني استراتيجيات أمنية أكثر صرامة لمراقبة التبعيات وحماية الأصول.