أعلنت شركات أمنية متخصصة مثل Aikido Security، OX Security، Socket، StepSecurity عن اكتشاف هجوم سلسلة توريد استهدف مكتبة PyTorch Lightning الشهيرة بلغة بايثون، حيث تم نشر نسختين خبيثتين هما 2.6.2 و2.6.3 بتاريخ 30 أبريل 2026. المكتبة مفتوحة المصدر تحظى بأكثر من 31 ألف نجمة على GitHub، وتُستخدم على نطاق واسع في مشاريع الذكاء الاصطناعي.
النسخ الخبيثة تضمنت مجلدًا مخفيًا باسم _runtime يحتوي على برنامج تنزيل وحمولة JavaScript مشفرة. بمجرد استيراد الوحدة، يتم تشغيل سلسلة التنفيذ تلقائياً دون تدخل إضافي من المستخدم. يبدأ الهجوم عبر سكربت بايثون (start.py) الذي يقوم بتنزيل وتشغيل بيئة Bun لتشغيل ملف خبيث ضخم (~11MB) باسم router_runtime.js، بهدف سرقة بيانات الاعتماد بشكل شامل.
آلية سرقة بيانات الاعتماد وانتشار العدوى
من بين البيانات المستهدفة رموز GitHub، حيث يتم التحقق منها عبر واجهة api.github.com/user قبل استخدامها لنشر حمولة خبيثة تشبه الدودة عبر ما يصل إلى 50 فرعاً في كل مستودع يمكن للرمز الكتابة فيه. العملية تتم عبر أسلوب upsert الذي ينشئ ملفات جديدة أو يستبدل الملفات الموجودة بصمت، مع استخدام هوية مزيفة لانتحال شخصية “Claude Code” من Anthropic.
إضافة إلى ذلك، يعتمد البرنامج الخبيث على آلية انتشار عبر npm، حيث يعدّل الحزم المحلية بإضافة postinstall hook داخل ملف package.json لتشغيل الحمولة، ثم يرفع النسخة المعدلة إلى npm، ما يؤدي إلى وصول البرمجية إلى مستخدمين آخرين بشكل غير مباشر.
استجابة المشروع وتوصيات الحماية
أقر القائمون على المشروع بوجود المشكلة وأكدوا أنهم يحققون في كيفية حدوث الاختراق، مع الإشارة إلى أن النسخ المصابة تضمنت وظائف مرتبطة بآلية سرقة بيانات الاعتماد. التوصيات الحالية تشمل:
- حظر نسخ Lightning 2.6.2 و2.6.3 وإزالتها من الأنظمة.
- الرجوع إلى النسخة النظيفة الأخيرة 2.6.1.
- تدوير بيانات الاعتماد التي ربما تعرضت للاختراق.
اختراق intercom-client ضمن حملة Mini Shai-Hulud
في تطور مرتبط، تم الكشف عن أن النسخة 7.0.4 من حزمة intercom-client على npm تعرضت للاختراق ضمن حملة Mini Shai-Hulud، باستخدام نفس الأسلوب الذي استهدف حزم SAP سابقاً. الهجوم يعتمد على preinstall hook لتشغيل حمولة خبيثة لسرقة بيانات الاعتماد.
التحقيقات أظهرت أن هناك تشابهاً كبيراً مع نشاط مجموعة TeamPCP، بما في ذلك أنماط الحمولة، استخدام GitHub في استخراج البيانات، واستهداف بيئات المطورين وCI/CD، وهو ما يتماشى مع هجمات سابقة طالت مشاريع مثل Checkmarx، Bitwarden، Telnyx، LiteLLM، Aqua Security Trivy.
الكلمات المفتاحية: PyTorch Lightning, intercom-client, supply chain attack, TeamPCP, Mini Shai-Hulud, npm, GitHub tokens, credential theft, Bun runtime, router_runtime.js, Anthropic Claude Code, SAP packages, CI/CD security, open source security
