هجوم PyTorch Lightning عبر PyPI: 42 دقيقة تكشف ثغرات سلسلة توريد بنوك SAMA

في 30 أبريل 2026، تحوّلت إحدى أشهر مكتبات التعلم الآلي في العالم إلى ناقل هجوم مباشر ضد كل فريق DevSecOps يستخدمها. اختراق قناة النشر الخاصة بـ PyTorch Lightning على PyPI كشف عن نقطة عمياء حقيقية في برامج حماية سلسلة توريد البرمجيات لدى المؤسسات المالية السعودية، وهي نقطة لم تعد رفاهية في ظل اعتماد بنوك SAMA المتزايد على نماذج التعلم الآلي.

تفاصيل الهجوم: 42 دقيقة من السرقة الصامتة

نشر المهاجمون إصدارَين خبيثَين من حزمة lightning على مستودع PyPI تحت الأرقام 2.6.2 و2.6.3. ظلّت النسخ الخبيثة متاحة للتنزيل لمدة 42 دقيقة قبل أن يحجزها فريق PyPI ويُزيلها، إلا أن أي نظام CI/CD أو محطة عالم بيانات استخدمت pip install lightning دون تثبيت إصدار محدد خلال هذه النافذة قامت بسحب الحزمة الملوّثة وتنفيذها تلقائياً عند الاستيراد دون أي تفاعل من المطور. الكود الخبيث كان مخفياً داخل دليل _runtime ويحتوي على محمّل (downloader) وحمولة JavaScript مشوّشة (obfuscated) تعمل بشكل خفي خلف الكواليس.

ما الذي سرقه المهاجمون فعلياً؟

الحملة تستهدف بيانات حساسة بشكل منهجي: بيانات اعتماد المطورين، رموز التوثيق (authentication tokens)، متغيرات البيئة (environment variables)، وأسرار الحوسبة السحابية المخزنة في ملفات .env و~/.aws/credentials وما يماثلها. الأخطر من ذلك أن الحمولة تحاول تسميم مستودعات GitHub المرتبطة بالضحية عبر دفع كود خبيث إلى المشاريع المفتوحة باسم المطور المخترق. باحثون من Aikido وSocket وSemgrep ربطوا الهجوم بحملة Mini Shai-Hulud الأوسع، التي ضربت سابقاً حزماً مرتبطة بـ SAP عبر مستودع npm، مما يدل على ممثل تهديد منظم يستهدف منهجياً قنوات نشر البرمجيات مفتوحة المصدر.

الثغرة الجذرية: تجاوز كامل للسيطرة على الكود المصدري

التحقيق الذي أجراه فريق Lightning AI كشف أن مستودع GitHub لم يُخترق على الإطلاق. المهاجم سرق بيانات اعتماد قناة نشر PyPI، نسخ الكود المفتوح، دسّ فيه الحمولة الخبيثة، ثم نشره مباشرة على PyPI متجاوزاً كل ضوابط Code Review وحماية فروع GitHub. هذا يُسلّط الضوء على نقطة ضعف بنيوية مزمنة: كثير من المؤسسات تثق في PyPI كمصدر موثوق دون أي تحقق من توقيع رقمي أو تطابق checksums مع الكود المصدري الأصلي.

التأثير المباشر على المؤسسات المالية السعودية

بنوك SAMA تتبنى بشكل متسارع نماذج التعلم الآلي لاكتشاف الاحتيال (fraud detection)، تقييم المخاطر الائتمانية، ومراقبة عمليات مكافحة غسل الأموال (AML). PyTorch Lightning يُعدّ إطاراً شائعاً لتدريب هذه النماذج لدى فرق علم البيانات. أي فريق سحب الحزمة المصابة خلال نافذة الـ 42 دقيقة يُحتمل أن تكون بيانات اعتماده السحابية الآن بحوزة جهة معادية. متطلبات SAMA CSCC في الضابط 3.3.5 (Secure Software Development) و3.4 (Third-Party Cybersecurity) تُلزم البنوك بتطبيق ضوابط واضحة على المكتبات الخارجية، فيما تشترط NCA ECC في الضابط 2-2-3 تأمين سلسلة تطوير البرمجيات بشكل مفصّل. أي خرق ناتج عن هذا الهجوم قد يُصنَّف كحادث يستوجب الإبلاغ خلال 72 ساعة وفق نظام PDPL إذا تأثرت بيانات شخصية لعملاء البنك.

التوصيات والخطوات العملية لفرق الأمن

1. تدقيق فوري لسجلات pip install في كل بيئات CI/CD ومحطات علم البيانات بين الساعة 14:00 و14:42 UTC من يوم 30 أبريل 2026، للكشف عن أي سحب لإحدى النسختين الخبيثتين 2.6.2 أو 2.6.3.
2. تدوير (rotate) فوري لكل بيانات الاعتماد السحابية، GitHub Personal Access Tokens، مفاتيح SSH، ومفاتيح API الموجودة على أي جهاز قام بتشغيل import lightning خلال النافذة المصابة.
3. اعتماد مرآة داخلية لـ PyPI (مثل JFrog Artifactory أو Sonatype Nexus) مع تثبيت الإصدارات بدقة عبر ملفات requirements.txt باستخدام قيم hash محددة (pip install --require-hashes) لمنع التحديث التلقائي العشوائي.
4. تفعيل فحص الحزم باستخدام أدوات SCA متخصصة مثل Socket أو Snyk أو OWASP Dependency-Check ضمن خط أنابيب CI/CD، مع منع البناء (fail-the-build) عند اكتشاف حزمة جديدة لم تُراجَع يدوياً.
5. تطبيق sigstore والتحقق من توقيع الحزم وفق PEP 740 للحزم الحساسة، وحظر تنفيذ JavaScript المُشوّش داخل بيئات Python باستخدام قواعد EDR صارمة على نقاط النهاية الخاصة بفرق التطوير وعلم البيانات.
6. إجراء تقييم TPRM (Third-Party Risk Management) شامل لكل مزود برمجيات مفتوحة المصدر يُعتمد عليه في الأنظمة الإنتاجية، وتوثيق ذلك ضمن سجل ضوابط SAMA CSCC الفرعية 3.4 مع مراجعة دورية كل ربع سنة.

الخلاصة

هجوم PyTorch Lightning ليس حدثاً معزولاً، بل امتداد طبيعي لحملة Shai-Hulud الموسّعة التي تستهدف منهجياً قنوات النشر في PyPI وnpm. بالنسبة للمؤسسات المالية السعودية، هذا اختبار مباشر لمدى نضج برنامج Software Supply Chain Security، وأي فجوة في هذا الضابط تعني فجوة مكافئة في الامتثال لـ SAMA CSCC وNCA ECC. حماية سلسلة التوريد لم تعد ترفاً تقنياً، بل التزاماً تنظيمياً صريحاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.