تعرضت مكتبة litellm التي تحقق 9700 مليون تنزيل شهري لهجوم سلسلة التوريد، حيث يمكن سرقة مفاتيح SSH وجميع بيانات الاعتماد الحساسة من خلال تثبيت بسيط

أودايلي ستيلكو ديلي نيوز: قال أندريه كارباتي على منصة X إن litellm تعرض لهجوم على سلسلة التوريد عبر PyPI، حيث يكفي تنفيذ الأمر pip install litellm لسرقة مفاتيح SSH، بيانات اعتماد AWS/GCP/Azure، تكوين Kubernetes، بيانات اعتماد git، متغيرات البيئة، المحافظ المشفرة، مفاتيح SSL الخاصة، مفاتيح CI/CD، وكلمات مرور قواعد البيانات. يبلغ عدد مرات تحميل litellm شهريًا 97 مليون مرة، ويمكن أن ينتشر الخطر إلى جميع المشاريع التي تعتمد على litellm، مثل dspy. تم إصدار نسخة تحتوي على برمجيات خبيثة في أقل من ساعة، واكتُشفت بسبب عطل في الكود المهاجم أدى إلى استهلاك ذاكرة جهاز كالوم مكماهون بشكل كامل. قال أندريه كارباتي إن هجمات سلسلة التوريد هي أخطر مشكلة في البرمجيات الحديثة، حيث يمكن أن تتسلل حزم معدلة بشكل خبيث في عمق شجرة الاعتمادات عند كل تثبيت، ولذلك أصبح يميل أكثر إلى تقليل الاعتماد على الحزم، واستخدام LLM لتنفيذ وظائف بسيطة مباشرة.