تم اختراق حزمة Top LLM على PyPl بهدف سرقة تفاصيل المستخدمين – إليك ما نعرفه
انتشار هجوم على حزمة بايثون الشهيرة LiteLLM واستغلالها في سرقة المعلومات
تعرض حزمة LiteLLM الشهيرة للاختراق في هجوم عبر سلسلة التوريد
مقدمة عن الحزمة وما حدث
حزمة بايثون LiteLLM المشهورة تعرضت للاختراق، وتم استخدامها لنشر برمجية خبيثة لسرقة المعلومات على مئات الآلاف من الأجهزة.
LiteLLM هو طبقة API خفيفة تتيح للمستخدمين استدعاء نماذج ذكاء اصطناعي متعددة (مثل OpenAI، Anthropic، وغيرها) من خلال واجهة موحدة.
يحظى بشعبية كبيرة، حيث يمتلك أكثر من 40,000 نجمة على GitHub وأكثر من 30,000 مساهمة.
تفاصيل الاختراق والطريقة المستخدمة
وفقًا لعدة باحثين أمنيين، تمكنت جهات تهديد تُعرف باسم TeamPCP من اختراق حساب LiteLLM ودفع تحديثين خبيثين:
- LiteLLM 1.82.7
- LiteLLM 1.82.8
طريقة الهجوم
قال باحثو أمن من Endor Labs إن الهجوم تم على ثلاث مراحل:
- جمع البيانات: يقوم البرمجية الخبيثة بسرقة بيانات اعتماد مثل مفاتيح SSH، رموز السحابة، أسرار Kubernetes، المحافظ الرقمية، وملفات .env.
- الانتقال الجانبي: تحاول البرمجية الانتقال عبر مجموعات Kubernetes عن طريق نشر حاويات ذات صلاحيات عالية على كل عقدة.
- التحكم المستمر: تثبيت باب خلفي دائم باستخدام systemd يراقب لتنزيل برمجيات إضافية، ويشفر البيانات المسروقة ويرسلها إلى نطاق يسيطر عليه المهاجم.
البيانات المسروقة وكيفية التعامل
- يتم تشفير البيانات المسروقة وإرسالها إلى نطاق يسيطر عليه المهاجم.
- تشمل البيانات المسروقة: مفاتيح سحابة من أمازون، جوجل، ومايكروسوفت، بالإضافة إلى مفاتيح TLS وأسرار CI/CD.
نصائح للمستخدمين
- إذا قمت بتثبيت أي من الإصدارات الملوثة، يجب تدوير جميع الأسرار والرموز وأية بيانات اعتماد أخرى على الفور.
- رصد حركة المرور الصادرة إلى نطاقات المهاجمين المعروفة.
- يُنصح بالرجوع إلى الإصدار 1.82.3 أو 1.82.6 من الحزمة.
معلومات إضافية وتحذيرات
- عدد المستخدمين الذين قاموا بتنزيل التحديثات الملوثة غير معروف، ولكنه يُقدر بأكثر من 500,000 مستخدم.
- الهجوم نتج عن اختراق سابق على أداة Aqua Security’s Trivy، وشهد هجمات على صور Docker الخاصة بـ Aqua Security، ومشروع Checkmarx KICS.
خلاصة وتنبيهات
- يُنصح بشدة بتحديث الحزم والتأكد من أمن البيانات والأجهزة.
- البقاء على اطلاع بأحدث التحذيرات الأمنية من خلال متابعة المصادر الموثوقة.
ترجمة المقالة إلى العربية
انتشار هجوم على حزمة بايثون الشهيرة LiteLLM واستغلالها في سرقة المعلومات
تعرض حزمة LiteLLM الشهيرة للاختراق في هجوم عبر سلسلة التوريد
مقدمة عن الحزمة وما حدث
حزمة بايثون LiteLLM المشهورة تعرضت للاختراق، وتم استخدامها لنشر برمجية خبيثة لسرقة المعلومات على مئات الآلاف من الأجهزة.
LiteLLM هو طبقة API خفيفة تتيح للمستخدمين استدعاء نماذج ذكاء اصطناعي متعددة (مثل OpenAI، Anthropic، وغيرها) من خلال واجهة موحدة.
يحظى بشعبية كبيرة، حيث يمتلك أكثر من 40,000 نجمة على GitHub وأكثر من 30,000 مساهمة.
تفاصيل الاختراق والطريقة المستخدمة
وفقًا لعدة باحثين أمنيين، تمكنت جهات تهديد تُعرف باسم TeamPCP من اختراق حساب LiteLLM ودفع تحديثين خبيثين:
- LiteLLM 1.82.7
- LiteLLM 1.82.8
طريقة الهجوم
قال باحثو أمن من Endor Labs إن الهجوم تم على ثلاث مراحل:
- جمع البيانات: يقوم البرمجية الخبيثة بسرقة بيانات اعتماد مثل مفاتيح SSH، رموز السحابة، أسرار Kubernetes، المحافظ الرقمية، وملفات .env.
- الانتقال الجانبي: تحاول البرمجية الانتقال عبر مجموعات Kubernetes عن طريق نشر حاويات ذات صلاحيات عالية على كل عقدة.
- التحكم المستمر: تثبيت باب خلفي دائم باستخدام systemd يراقب لتنزيل برمجيات إضافية، ويشفر البيانات المسروقة ويرسلها إلى نطاق يسيطر عليه المهاجم.
البيانات المسروقة وكيفية التعامل
- يتم تشفير البيانات المسروقة وإرسالها إلى نطاق يسيطر عليه المهاجم.
- تشمل البيانات المسروقة: مفاتيح سحابة من أمازون، جوجل، ومايكروسوفت، بالإضافة إلى مفاتيح TLS وأسرار CI/CD.
نصائح للمستخدمين
- إذا قمت بتثبيت أي من الإصدارات الملوثة، يجب تدوير جميع الأسرار والرموز وأية بيانات اعتماد أخرى على الفور.
- رصد حركة المرور الصادرة إلى نطاقات المهاجمين المعروفة.
- يُنصح بالرجوع إلى الإصدار 1.82.3 أو 1.82.6 من الحزمة.
معلومات إضافية وتحذيرات
- عدد المستخدمين الذين قاموا بتنزيل التحديثات الملوثة غير معروف، ولكنه يُقدر بأكثر من 500,000 مستخدم.
- الهجوم نتج عن اختراق سابق على أداة Aqua Security’s Trivy، وشهد هجمات على صور Docker الخاصة بـ Aqua Security، ومشروع Checkmarx KICS.
خلاصة وتنبيهات
- يُنصح بشدة بتحديث الحزم والتأكد من أمن البيانات والأجهزة.
- البقاء على اطلاع بأحدث التحذيرات الأمنية من خلال متابعة المصادر الموثوقة.
