في مارس 2026، نفذت مجموعة التهديد TeamPCP هجوم سلسلة توريد استهدف مكتبة الذكاء الاصطناعي الشهيرة LiteLLM، التي تُحمّل ملايين المرات يوميًا عبر منصة PyPI. تم حقن نسختي 1.82.7 و1.82.8 ببرمجية خبيثة تعمل كـ Infostealer، لتبدأ عملية منهجية لجمع بيانات الاعتماد من أجهزة المطورين.
البرمجية استهدفت مفاتيح SSH، بيانات اعتماد السحابة (AWS، Azure، GCP)، إعدادات Docker، وملفات حساسة أخرى، مما حول أجهزة المطورين إلى خزائن مفتوحة للمهاجمين. ورغم إزالة الحزم خلال ساعات، إلا أن نافذة الضرر كانت واسعة، إذ أظهرت تحليلات GitGuardian أن أكثر من 1,705 حزمة PyPI كانت تعتمد على LiteLLM بشكل مباشر أو غير مباشر، ما أدى إلى انتشار العدوى حتى بين مؤسسات لم تستخدم المكتبة بشكل صريح.
لماذا أجهزة المطورين أهداف مثالية
أجهزة المطورين تُعد أكثر نقاط البنية التحتية نشاطًا داخل المؤسسات، حيث تُنشأ وتُختبر وتُخزن بيانات الاعتماد بشكل متكرر. هذه الأجهزة تحتوي على ملفات .env، سجلات الطرفية، إعدادات IDE، مخازن ذاكرة لوكلاء الذكاء الاصطناعي، وملفات مؤقتة مليئة بالأسرار النصية.
الهجوم على LiteLLM لم يكن الأول من نوعه، فقد سبقت ذلك حملات مثل Shai-Hulud التي كشفت آلاف الأجهزة المخترقة، حيث وُجد أكثر من 33,000 سر فريد، منها آلاف الأسرار التي بقيت صالحة للاستخدام. هذه البيئة الغنية بالأسرار تجعل أجهزة المطورين أهدافًا مثالية لأي مهاجم يسعى للوصول إلى بيانات حساسة بسرعة.
طرق الحماية وتقليل المخاطر
يشدد الخبراء على ضرورة التعامل مع أجهزة المطورين كبنية تحتية حرجة، وليس مجرد أدوات شخصية. من أبرز التوصيات:
- الرصد المستمر: استخدام أدوات مثل ggshield لفحص المستودعات المحلية وملفات النظام بحثًا عن بيانات اعتماد مخزنة.
- نقل الأسرار إلى خزائن مركزية: اعتماد أنظمة إدارة أسرار مركزية تفرض سياسات دورة حياة، تدوير دوري للمفاتيح، ومراقبة الاستخدام.
- التعامل مع وكلاء الذكاء الاصطناعي بحذر: عدم إدخال بيانات اعتماد في محادثات الوكلاء أو ملفات الذاكرة الخاصة بهم.
- إلغاء فئات كاملة من الأسرار: استبدال كلمات المرور بـ WebAuthn (Passkeys)، والانتقال إلى مصادقة OIDC في خطوط CI/CD لتقليل الاعتماد على مفاتيح سحابية ثابتة.
- استخدام بيانات اعتماد مؤقتة: الاعتماد على هويات مشفرة قصيرة العمر مثل SPIFFE SVIDs بدلًا من مفاتيح API طويلة الأمد.
- نشر Honeytokens: وضع بيانات اعتماد وهمية في مسارات شائعة لتوليد إنذارات فورية عند محاولة استغلالها.
دلالات الهجوم على مستقبل الأمن السيبراني
حادثة LiteLLM أبرزت أن المهاجمين يدركون قيمة أجهزة المطورين أكثر من كثير من فرق الأمن نفسها. فهي نقطة التقاء بين الامتيازات والثقة والتنفيذ، ما يجعلها بوابة مثالية لاختراق المؤسسات عبر سلسلة التوريد. المؤسسات التي ستنجو من الهجمات القادمة هي تلك التي تطبق نفس معايير الحوكمة والانضباط الأمني على أجهزة المطورين كما تطبقها على أنظمة الإنتاج.
