هجوم TeamPCP على LiteLLM: 500,000 هوية مؤسسية مخترقة عبر أداة ذكاء اصطناعي يثق بها الجميع

في مارس 2026، نفّذ ممثل التهديد TeamPCP واحدة من أضخم هجمات سلسلة التوريد على بنية تحتية للذكاء الاصطناعي في التاريخ المُوثَّق، مستهدفاً مكتبة LiteLLM ذات 480 مليون تنزيل، ومحوّلاً أجهزة المطوّرين إلى مخازن صامتة لبيانات الاعتماد المؤسسية. المؤسسات المالية السعودية التي تعتمد على أدوات الذكاء الاصطناعي في بيئاتها الإنتاجية تواجه خطراً مباشراً لم تعالجه معظم برامج SAMA CSCC الحالية.

تشريح الهجوم: كيف حوّل TeamPCP أداة Trivy إلى بوابة لـ PyPI

بدأ الهجوم في 19 مارس 2026 عندما اخترق TeamPCP أداة فحص الثغرات مفتوحة المصدر Trivy، المُضمَّنة في خط CI/CD الخاص بـ LiteLLM دون تثبيت إصدار محدد (version pinning). هذه الثغرة في ممارسات DevSecOps منحت المهاجمين وصولاً كاملاً لبيانات اعتماد نشر PyPI الخاصة بالمشروع. بحلول 24 مارس، نشر TeamPCP الإصدارين الخبيثين 1.82.7 و1.82.8 مباشرةً على PyPI، وظلّا متاحَين لأكثر من خمس ساعات بين 10:39 و16:00 بتوقيت UTC قبل اكتشافهما. خلال تلك الساعات الخمس، كانت آلاف الأجهزة تُنزّل الحمولة الخبيثة تلقائياً دون أي تحذير أو إشارة من أنظمة الحماية التقليدية. الأسوأ من ذلك: كثير من بيئات المؤسسات تعمل بعمليات تحديث تلقائية، مما يعني أن الاختراق وقع دون أي تدخل بشري من جانب الضحية.

الحمولة ثلاثية المراحل: ما وراء سرقة بيانات الاعتماد

لم يكتفِ TeamPCP بسرقة بيانات الاعتماد؛ بل زرع حمولة متطورة من ثلاث مراحل متتابعة. المرحلة الأولى تضمّنت حصاداً منهجياً لمفاتيح SSH وبيانات اعتماد AWS وAzure وGCP وإعدادات Docker وملفات kubeconfig. المرحلة الثانية شملت حركة جانبية داخل بيئات Kubernetes عبر استغلال الصلاحيات المحصودة للوصول إلى حاويات أخرى وقواعد بيانات حساسة. المرحلة الثالثة زرعت باباً خلفياً دائماً لتنفيذ أوامر عن بُعد (RCE) يبقى نشطاً حتى بعد ترقية المكتبة إلى إصدار نظيف. النتيجة الإجمالية للحملة الأشمل التي امتدت عبر PyPI وnpm وDocker Hub وGitHub Actions وOpenVSX في عملية منسّقة واحدة: أكثر من 500,000 هوية مؤسسية مخترقة، و300 جيجابايت من بيانات الاعتماد المضغوطة مُسرَّبة إلى بنية تحتية تحكمها المجموعة.

التأثير على المؤسسات المالية السعودية

LiteLLM ليست مجرد مكتبة للمطوّرين الأفراد؛ إنها بوابة AI موحّدة تُستخدم على نطاق واسع في تطبيقات المؤسسات لتوحيد الاتصال بـ OpenAI وAzure OpenAI وAmazon Bedrock وNVIDIA NIM وغيرها من نماذج اللغة الكبيرة. البنوك والمؤسسات المالية في المملكة التي تبني حلول تقييم مخاطر الائتمان أو اكتشاف الاحتيال أو خدمة العملاء المدعومة بالذكاء الاصطناعي أو محركات التوصية تعتمد بشكل متزايد على هذه المكتبة، أحياناً دون علم الفريق الأمني. متطلبات SAMA CSCC تحت المجال الثاني (أمن التطبيقات) تلزم المؤسسات بتطبيق ضوابط صارمة على مكتبات الجهة الثالثة والتحقق من سلامتها، كما أن NCA ECC في قسم 3-3 يستلزم إدارة التغيير والتحقق من صحة المكتبات المستخدمة في بيئات الإنتاج. ثغرة إضافية تكمن في أن كثيراً من مؤسسات القطاع المالي السعودي لا تمتلك مخزوناً شاملاً لأدوات الذكاء الاصطناعي المستخدمة داخلياً (AI/ML SBOM)، مما يجعل الكشف عن التأثر بهذا النوع من الهجمات بطيئاً وغير دقيق.

التوصيات والخطوات العملية

1. فحص فوري لـ SBOM: ولّد Software Bill of Materials كاملة لجميع بيئاتك الإنتاجية وابحث عن LiteLLM بالإصدارين 1.82.7 أو 1.82.8. كل جهاز أو حاوية نزّلت هذين الإصدارين يجب معالجتها كمخترقة وإجراء تحقيق جنائي رقمي كامل.
2. تدوير فوري لبيانات الاعتماد السحابية: قم فوراً بإبطال وتجديد جميع مفاتيح AWS IAM وبيانات اعتماد Azure Service Principal وحسابات خدمة GCP على أي جهاز يُحتمل تأثره. تحقق من سجلات CloudTrail وAzure Monitor وGCP Audit Logs عن أي نشاط غير مصرّح به بدءاً من 24 مارس 2026.
3. تطبيق Version Pinning مع التحقق من Hash: في جميع ملفات requirements.txt وpyproject.toml، ثبّت إصدارات محددة لجميع التبعيات واستخدم التحقق من hash عبر pip install --require-hashes لضمان سلامة كل حزمة مُنزَّلة.
4. مراجعة أدوات CI/CD وDevSecOps: أدوات فحص الثغرات كـ Trivy نفسها باتت هدفاً للمهاجمين. طبّق نفس معايير إدارة المخاطر المطبّقة على البرمجيات الإنتاجية على جميع أدوات خط البناء، بما فيها أدوات الأمن.
5. تفعيل سياسة الصلاحيات الأدنى لـ CI/CD: حسابات الخدمة المستخدمة في عمليات البناء والنشر يجب أن تمتلك صلاحيات محدودة للغاية، مع تسجيل مفصّل لكل عملية نشر تلقائي وتنبيهات فورية عند أي نشاط غير اعتيادي.
6. إنشاء مخزون AI/ML ضمن برنامج SAMA CSCC: أضف جميع مكتبات الذكاء الاصطناعي المستخدمة في الإنتاج إلى مخزون مخاطر الطرف الثالث وأخضعها لمراجعة أمنية دورية، مع تحديد مسؤول واضح لإدارة التحديثات والتنبيهات الأمنية لكل مكتبة.

الخلاصة

هجوم TeamPCP على LiteLLM يكشف عن ثغرة منهجية في كيفية تعامل المؤسسات المالية مع أدوات الذكاء الاصطناعي: معظمها يثق بها بشكل أعمى دون ضوابط أمنية مناسبة. الهجوم لم يستغل ثغرة في الكود بقدر ما استغل ثقة بيئة CI/CD بتبعية غير محكمة — وهو نوع من المخاطر لا يظهر في فحوصات الثغرات التقليدية ولا في اختبارات الاختراق الاعتيادية. في بيئة تنظيمية سعودية تزداد صرامة، يصبح الجهل بمحتويات الـ stack التقني مخاطرة امتثالية أمام SAMA وNCA قبل أن تكون مخاطرة أمنية بحتة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لسلسلة التوريد البرمجية وأدوات الذكاء الاصطناعي في بيئتك الإنتاجية.