أفادت تقارير أمنية حديثة عن اختراق خطير في سلاسل الإمداد للبرمجيات تم اكتشافه في حزمة مكتبة litellm الإصدار 1.82.8 المتاحة على منصة PyPI. تحتوي هذه الحزمة على ملف خبيث يحمل الاسم litellm_init.pth، يهدف إلى سرقة بيانات اعتماد المستخدمين تلقائيًا بمجرد تشغيل مترجم لغات بايثون، دون الحاجة إلى استيراد المكتبة فعليًا في الكود. عند تثبيت هذا الإصدار المعيب، يتم تحميل الملف الخبيث تلقائيًا، حيث يقوم بنسخ محتوى مزدوج التشفير (Base64) لتنفيذ سلسلة من العمليات الضارة. تبدأ المرحلة الأولى بجمع كميات هائلة من المعلومات الحساسة من نظام المستهدف، وتشمل تفاصيل النظام مثل اسم المضيف ومعلومات الشبكة، بالإضافة إلى جميع المتغيرات البيئية التي قد تحتوي على مفاتيح API وكلمات مرور. يستهدف البرنامج أيضًا المفاتيح الخاصة بشبكات SSH، ومصادقات Git، ومفاتيح الوصول إلى خدمات السحابة مثل AWS وGoogle Cloud وAzure، وكذلك سرات Kubernetes وكلمات مرور قواعد البيانات المختلفة. لا تتوقف عملية الجمع عند حدود الملفات السرية فحسب، بل تمتد لتشمل سجلات الأوامر في الطرفية (Shell history)، ومحافظ العملات المشفرة بأنواعها، وملفات المفاتيح الخاصة ببروتوكولات الأمان SSL وTLS، وسري مشاريع التكامل والنشر الآلي CI/CD، بالإضافة إلى مسارات الوصول إلى وحدات التحكم في الأنظمة المختلفة. يتم تجميع كل هذه البيانات في ملف مؤقت واحد. تنتقل العمليات لاحقًا إلى مرحلة التشفير والتسريب، حيث يقوم الكود المموه بتوليد مفتاح تشفير عشوائي قوي (AES-256) لتشفير البيانات المجمعة، ثم يقوم بتشفير المفتاح نفسه باستخدام مفتاح عام RSA مخزن مسبقًا في الكود الخبيث. بعد ذلك، تُضغَط الملفات المشفرة في أرشيف مضغوط ويُعاد إرسالها إلى خادم تابع للهجوم، مما يتيح للجهات الخبيثة الوصول إلى كافة الأسرار المسروقة. تؤثر هذه الحادثة بشكل مباشر على جميع المستخدمين الذين قاموا بتثبيت الإصدار 1.82.8 من litellm عبر أداة pip، حيث تعرضت جميع متغيرات البيئة والمفاتيح المخزنة في ملفات التكوين للاختراق. تنصح الجهات الأمنية والمطورون باتخاذ إجراءات فورية وشاملة للتخفيف من الأضرار. يتطلب التصحيح إزالة حزمة litellm الإصدار 1.82.8 فورًا من بيئات العمل، والتحقق من وجود الملف المدمر litellm_init.pth داخل مجلدات المكتبات. من الضروري أيضًا أن يقوم جميع المستخدمين المتضررين بتدوير جميع بيانات الاعتماد التي كانت نشطة على أجهزتهم، بما في ذلك مفاتيح السحابة ومفاتيش SSH وأسرار قواعد البيانات، حيث يُفترض أن جميعها قد تم تسريبها. أما بالنسبة لمنظمة المطورين BerriAI، فيجب عليهم تدقيق صلاحية حسابات النشر على PyPI وسلاسل عمليات CI/CD الخاصة بهم للكشف عن نقطة الاختراق وعزل التهديد. هذا الحادث يسلط الضوء مجددًا على المخاطر الكامنة في اعتماد المكونات البرمجية من مصادر خارجية دون فحص أمني دقيق، ويدعو إلى اليقظة العالية في عمليات التحديث الدوري للمكتبات.