🗓 الأربعاء - 25 مارس 2026، 12:10 صباحًا |
⏱ 2 دقيقة |
👁 3 مشاهدة
كشف خبراء الأمن الرقمي عن هجوم خطير استهدف حزمة Python الشهيرة LiteLLM، حيث تم نشر إصدارين خبيثين يحتويان على أدوات سرقة بيانات وأبواب خلفية خطيرة. وفقاً لتقارير多家 شركات الأمن، فإن الإصدارين 1.82.7 و 1.82.8 تم نشرهما في 24 مارس 2026 قبل إزالتهما من PyPI. ما هو هجوم LiteLLM وكيف يعمل؟ يرتبط هذا الهجوم بثغرة أمنية سابقة في أداة Trivy المستخدمة في سير عمل CI/CD الخاص بالحزمة. يقوم التهديد بثلاث مراحل رئيسية: جامع بيانات سرية يسرق مفاتيح SSH وبيانات اعتماد السحابة وأسرار Kubernetes ومحافظ العملات الرقمية أداة حركة جانبية Kubernetes تنشر pods مميزة على كل العقد باب خلفي systemd مستمر يتصل بـ "checkmarx[.]zone/raw" لتنزيل ملفات إضافية كيف تسرق البيانات؟ يتم exfiltration البيانات المسروقة كأرشيف مشفر ("tpcp.tar.gz") إلى خادم قيادة وتحكم يسمى "models.litellm[.]cloud" عبر طلب HTTPS POST. هذه الطريقة تجعل من الصعب كشف النشاط الضار. ما الفرق بين الإصدارين 1.82.7 و 1.82.8؟ الإصدار الأول 1.82.7 يحتوي على الكود الخبيث في ملف "litellm/proxy/proxy_server.py"، ويتم تنفيذه عند استيراد الوحدة. لكن الإصدار 1.82.8 أكثر خطورة لأنه يستخدم ملف "litellm_init.pth" الخبيث. لماذا 1.82.8 أكثر خطورة؟ يتم تنفيذه تلقائياً عند بدء أي عملية Python في البيئة لا يحتاج لاستيراد litellm للتنفيذ يستخدم subprocess.Popen لتشغيل_payload في الخلفية يستخدم ملفات .pth التي تعالجها site.py تلقائياً كيف يحمي هذا الهجوم نفسه؟ يستخدم الهجوم تقنيات متقدمة للاستمرار في النظام: ينشر systemd service باسم "sysmon.service" يستخدم token حساب خدمة Kubernetes لترقية الصلاحيات يضع النفس في كل عقدة الكتلة يحافظ على اتصال مستمر مع خادم C2 حسب تيكبامين، هذه الهجمات تتطلب تنبيهاً فورياً من مطوري البرامج الذين يستخدمون LiteLLM. يجب على المؤسسات فحص بيئاتها وتحديث جميع الحزم فوراً. كيف تحمي مؤسستك من هذه الهجمات؟ لحماية أنظمتك من هجمات سلسلة التوريد CI/CD: تحقق من جميع التبعيات قبل التثبيت استخدم أدوى فحص أمني في سير عمل CI/CD راقب حركة الشبكة غير المعتادة حدّث جميع الحزم فوراً للإصدارات الآمنة افحص logs Kubernetes بحثاً عن pods غير معروفة هذا الهجوم يظهر أهمية الأمن السيبراني في سلسلة التوريد البرمجية. يجب على المطورين دائماً التحقق من مصادر الحزم ومراقبة سلوكها بعد التثبيت.