في خرق أمني خطير يسلط الضوء على الهشاشة في سلسلة توريد البرمجيات مفتوحة المصدر، تعرضت مكتبة بايثون الشهيرة LiteLLM للاختراق عبر منصة PyPI. فقد تم رفع نسختين خبيثتين (1.82.7 و1.82.8) مباشرة إلى فهرس حزم بايثون، متجاوزين المستودع الرسمي للمشروع على GitHub.
وتشير التحليلات إلى أن هذا الهجوم نتج عن اختراق أولي لأداة الفحص الأمني Trivy المستخدمة في بيئة التطوير (CI/CD) الخاصة بالمشروع، مما حوّل مكتبة يعتمد عليها ملايين المطورين إلى أداة متطورة لسرقة البيانات وفتح أبواب خلفية للمخترقين.
تُعد مكتبة LiteLLM ركيزة أساسية في تطبيقات الذكاء الاصطناعي الحديثة؛ حيث تتجاوز تنزيلاتها 95 مليون مرة شهرياً. وتعمل المكتبة كواجهة موحدة لربط أكثر من 100 مزود للنماذج اللغوية الكبيرة (مثل OpenAI، Anthropic، Azure، وغيرها)، وتعتمد عليها مؤسسات كبرى لإدارة التكاليف وتوجيه النماذج، مما يجعل اختراقها تهديداً واسع النطاق.
تطورت أحداث الاختراق بشكل متسارع يوم 24 مارس 2026:
10:52 صباحاً (توقيت غرينتش): ظهرت النسخة 1.82.8 على منصة PyPI دون أي إصدار يوازيها على GitHub.
بعد وقت قصير: تبين أن النسخة السابقة 1.82.7 تحتوي أيضاً على برمجيات خبيثة.
تم دمج الكود الضار أثناء عملية بناء الحزمة، أو عبر استخدام بيانات اعتماد مسروقة خاصة بمنصة PyPI، دون إحداث أي تغييرات مرئية في الكود المصدري العلني.
تكمن الخطورة الكبرى في وجود ملف مخفي باسم litellm_init.pth في النسخة 1.82.8، بالإضافة إلى كود مشفر في مسار خادم الوكيل. حيث تُنفذ ملفات .pth برمجياً بمجرد تشغيل بيئة بايثون، مما يعني أن مجرد تثبيت الحزمة كان كافياً لتفعيل البرمجية الخبيثة، حتى دون استدعائها (Import) داخل الكود.
وقد اكتُشف هذا الهجوم بالصدفة البحتة عندما قامت إحدى الإضافات في بيئة التطوير Cursor بتحميل المكتبة، مما تسبب في إطلاق هجوم لاستنزاف الموارد (Fork Bomb) أدى إلى تعطل الأجهزة ولفت انتباه الباحثين الأمنيين. وقد سارعت PyPI إلى حذف الحزم المصابة، لتصبح النسخة 1.82.6 هي آخر إصدار آمن.
صُممت البرمجية الخبيثة لتنفيذ هجمات معقدة ومتعددة المراحل لسرقة البيانات:
كلمات المرور لقواعد البيانات، ومحافظ العملات الرقمية، والمتغيرات البيئية.
تسريب البيانات: يتم ضغط البيانات وتشفيرها، ثم إرسالها إلى خادم يتحكم فيه المهاجمون تحت النطاق models.litellm.cloud (وهو نطاق مزيف لا يمت للمشروع بصلة).
التغلغل في النظام: تقوم البرمجية بتثبيت نفسها كخدمة دائمة في النظام (عبر systemd). وفي بيئات Kubernetes، تستخدم صلاحيات النظام لاستخراج أسرار إضافية ونشر حاويات خبيثة بصلاحيات عالية للتحكم في الخوادم المضيفة.
بسبب موقعها المركزي، فإن اختراق LiteLLM يهدد البنية التحتية لمنظمات بأكملها. ومن أبرز المشاريع المتضررة:
OpenClaw: مساعد ذكاء اصطناعي يعتمد على المكتبة كبوابة رئيسية لربط تطبيقات المحادثة بمزودي النماذج.
Hermes Agent: إطار عمل للوكلاء الأذكياء يستخدم المكتبة لمرونة توجيه النماذج.
كما شمل الضرر أطر عمل متعددة مثل Smolagents وRAG، بالإضافة إلى مستخدمين في شركات كبرى. ويُعتقد أن مجموعة تُعرف بـ TeamPCP تقف وراء هذه الحملة الممنهجة التي تستهدف أدوات تطوير الذكاء الاصطناعي.
إذا قمت بتثبيت النسخة 1.82.7 أو 1.82.8، يجب عليك اتخاذ الخطوات التالية فوراً:
العودة إلى إصدار أقدم: خفض نسخة المكتبة فوراً إلى 1.82.6 أو أقدم.
تحديث بيانات الاعتماد: تغيير جميع كلمات المرور، ومفاتيح SSH، وبيانات الخدمات السحابية وKubernetes.
فحص النظام: البحث عن أي مؤشرات للاختراق، مثل:
litellm_init.pth.~/.config/sysmon/sysmon.py.يُعد هذا الهجوم جرس إنذار حقيقي. فمع تحول أدوات الذكاء الاصطناعي إلى بنية تحتية أساسية، تصبح المكتبات مفتوحة المصدر هدفاً بالغ الجاذبية للقراصنة. سارع بتأمين أنظمتك وتابع التحديثات الأمنية الرسمية للمشروع.