تعرضت مكتبة litellm التي تحقق 9700 مليون تنزيل شهري لهجوم سلسلة التوريد، حيث يمكن سرقة مفاتيح SSH وجميع بيانات الاعتماد الحساسة من خلال تثبيت بسيط

عملة الإنترنت نيوز، أندريه كارباتي نشر على منصة X أن litellm تعرض لهجوم على سلسلة التوريد عبر PyPI، حيث يكفي تنفيذ الأمر pip install litellm لسرقة مفاتيح SSH، بيانات اعتماد AWS/GCP/Azure، إعدادات Kubernetes، بيانات اعتماد git، متغيرات البيئة، المحافظ المشفرة، مفاتيح SSL الخاصة، مفاتيح CI/CD، وكلمات مرور قواعد البيانات. يبلغ عدد مرات تحميل litellm شهريًا 97 مليون مرة، وتنتشر المخاطر إلى جميع المشاريع التي تعتمد على litellm، مثل dspy. تم إصدار نسخة تحتوي على برمجيات خبيثة خلال أقل من ساعة، واكتُشفت بسبب عطل في الكود المهاجم أدى إلى استهلاك ذاكرة جهاز كالوم ماكهام بشكل كامل. قال أندريه كارباتي إن هجمات سلسلة التوريد هي أخطر مشكلة في البرمجيات الحديثة، حيث يمكن أن تتسلل حزم معدلة عميقًا في شجرة الاعتمادات عند كل تثبيت، ولذلك أصبح يميل أكثر إلى تقليل الاعتماد على الحزم، واستخدام نماذج اللغة الكبيرة مباشرة لتنفيذ وظائف بسيطة.