- تعرضت حزمة Python الشهيرة LiteLLM للاختراق في هجوم على سلسلة التوريد
- نشرت التحديثات الضارة (الإصدار 1.82.7 والإصدار 1.82.8) أداة سرقة معلومات TeamPCP Cloud Stealer
- الهجوم على بيانات الاعتماد السحابية وأسرار Kubernetes والمحافظ؛ حث المستخدمين على تدوير الرموز المميزة والعودة إلى الإصدارات الآمنة
تم اختراق حزمة Python ذات الشعبية الكبيرة والتي تسمى LiteLLM وتم استخدامها لنشر برنامج ضار لسرقة المعلومات على مئات الآلاف من الأجهزة.
LiteLLM عبارة عن طبقة API خفيفة الوزن تتيح للمستخدمين الاتصال بنماذج الذكاء الاصطناعي المتعددة (مثل OpenAI وAnthropic وما إلى ذلك) من خلال واجهة موحدة واحدة. لديها أكثر من 40.000 نجمة، وأكثر من 30.000 التزام.
وفقًا للعديد من الباحثين الأمنيين، بالإضافة إلى القائمين على المشروع، تمكنت جهات التهديد التي تطلق على نفسها اسم TeamPCP من اقتحام حساب LiteLLM ودفع تحديثين ضارين: LiteLLM 1.82.7 و1.82.8.
يستمر المقال أدناه
سرقة الأسرار
العدد الدقيق للأشخاص الذين قاموا بتنزيل هذا التحديث غير معروف (وربما لن يكون كذلك أبدًا)، لكن بعض المصادر تزعم أنه قد يصل إلى 500000.
BleepingComputer تشير التقارير إلى أن الاختراق هو نتيجة مباشرة لتسوية سابقة في ماسح الثغرات الأمنية الخاص بـ Aqua Security Trivy، في أعقاب هجمات مماثلة على صور Aqua Security Docker، ومشروع Checkmarx KICS.
من خلال هجوم سلسلة التوريد، قام فريق TeamPCP بتوزيع برنامج سرقة معلومات مصمم خصيصًا يسمى “TeamPCP Cloud Stealer”، بالإضافة إلى نص برمجي للاستمرار. قال باحثو الأمن في Endor Labs إن الهجوم ينقسم إلى ثلاث خطوات:
“بمجرد تشغيلها، تقوم الحمولة بتشغيل هجوم من ثلاث مراحل: فهي تحصد بيانات الاعتماد (مفاتيح SSH، والرموز السحابية، وأسرار Kubernetes، ومحافظ التشفير، وملفات .env)، وتحاول الحركة الجانبية عبر مجموعات Kubernetes عن طريق نشر البودات المميزة في كل عقدة، وتثبيت باب خلفي مستمر للنظام يستقصي عن الثنائيات الإضافية،” يوضح Endor Labs.
“يتم تشفير البيانات المسربة وإرسالها إلى مجال يتحكم فيه المهاجم.”
يقوم برنامج سرقة المعلومات أيضًا بإجراء فحص للنظام، والحصول على بيانات الاعتماد السحابية لـ Amazon وGoogle وMicrosoft، ويسحب مفاتيح TLS الخاصة وأسرار CI/CD.
إذا قمت بتثبيت أي من الإصدارات المسمومة، فتأكد من تدوير جميع الأسرار والرموز المميزة وبيانات الاعتماد، في أقرب وقت ممكن، ومراقبة حركة المرور الصادرة إلى نطاقات المهاجمين المعروفة. تأكد أيضًا من الرجوع إلى الإصدار 1.82.3 أو 1.82.6.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات