أكدت شركة ميركور (Mercor)، المتخصصة في توظيف الذكاء الاصطناعي، أنها كانت واحدة من آلاف الشركات التي تأثرت بهجوم سلسلة التوريد الخاص بـ LiteLLM، مع استمرار تداعيات اختراق Trivy في الانتشار والتأثير على القطاع التقني بأكمله. هذا الإعلان يسلط الضوء على خطورة التهديدات السيبرانية التي تستهدف سلاسل التوريد البرمجية، ويكشف عن شبكة معقدة من الهجمات التي تستهدف البنية التحتية لعدد متزايد من الشركات.
تفاصيل الهجوم على ميركور
صرحت ميركور في منشور عبر وسائل التواصل الاجتماعي يوم الثلاثاء: لقد اكتشفنا مؤخرًا أننا كنا واحدة من آلاف الشركات المتضررة من هجوم سلسلة التوريد الذي شمل LiteLLM. وأضافت الشركة أن فريقها الأمني تحرك بسرعة لاحتواء الحادث ومعالجته، مؤكدة أنها تجري تحقيقًا شاملاً بمساعدة خبراء الطب الشرعي من طرف ثالث، وستخصص الموارد اللازمة لحل المشكلة في أقرب وقت ممكن.
يأتي هذا الاعتراف بعد ادعاءات من عصابة الابتزاز Lapsus$، والتي شاركها الباحث دومينيك ألفيري على وسائل التواصل الاجتماعي، بأنها سرقت 4 تيرابايت من البيانات من ميركور، بما في ذلك 939 جيجابايت من الكود المصدري، وعرضت بيع الملفات المسروقة للمزايد الأعلى. في حين لم يذكر بيان ميركور كيف تمكنت Lapsus$ من الوصول إلى بيانات الشركة بعد اختراق LiteLLM، فقد أشار باحثو الأمن في Wiz الأسبوع الماضي إلى أن مجموعات الابتزاز رفيعة المستوى مثل Lapsus$ تعمل الآن مع TeamPCP، وهي العصابة التي يُعتقد أنها مسؤولة عن هجمات Trivy وLiteLLM وغيرها من الهجمات البارزة على سلسلة توريد المشاريع مفتوحة المصدر.
في سياق متصل، وبعد تقرير ذكر أن TeamPCP قد اخترق أيضًا بيئة التطوير الداخلية لشركة Cisco وسرق الكود المصدري عبر بيانات اعتماد تم تمريرها خلال هجوم Trivy، صرحت Cisco أنها على دراية بمشكلة سلسلة التوريد Trivy التي تؤثر على الصناعة.
هجمات سلسلة التوريد المرتبطة:
- إصابة أكثر من ألف بيئة سحابية بعد هجوم سلسلة التوريد Trivy.
- تعرض LiteLLM للاختراق بعد هجوم Trivy.
- انضمام Telnyx إلى LiteLLM في أحدث حالات تسمم حزمة PyPI المرتبطة بخرق Trivy.
- انفجار سلسلة التوريد: حزمة npm علوية ذات باب خلفي لإسقاط RAT القذرة على أجهزة التطوير.
قال متحدث باسم Cisco: لقد أطلقنا على الفور تقييمًا، وبناءً على تحقيقنا حتى الآن، لم نر أي دليل على تأثير على عملائنا أو منتجاتنا أو خدماتنا. وأضاف: نواصل التحقيق ومراقبة هذا الوضع عن كثب، وسنتبع إجراءاتنا المعمول بها جيدًا لمعالجة هذه الأنواع من المشكلات والتواصل مع عملائنا حسب الاقتضاء. رفضت Cisco مرتين الإجابة على سؤال حول ما إذا كان المهاجمون قد تمكنوا من الوصول إلى أي من أنظمة Cisco.
كيف بدأت الأزمة
بدأت الأزمة عندما اخترق TeamPCP ماسح الثغرات مفتوح المصدر Trivy، الذي تديره شركة Aqua Security، في أواخر فبراير. بعد شهر، قام الفريق بإدخال برامج ضارة لسرقة بيانات الاعتماد في الماسح الضوئي. في وقت لاحق من شهر مارس، قام نفس الطاقم بحقن نفس البرنامج الضار في أداة التحليل الثابت مفتوحة المصدر KICS التي تديرها Checkmarx. كما قاموا بنشر إصدارات ضارة من LiteLLM وتيلنيكس (Telnyx) إلى فهرس حزمة بايثون (PyPI).
بعد هذه الهجمات، أعلنت شركة Wiz، وهي متجر للأمن السحابي مملوك لشركة Google، أن باحثيها رأوا مؤشرات في أدلة السحابة والكود ووقت التشغيل (Runtime) على أن بيانات الاعتماد والأسرار المسروقة في اختراقات سلسلة التوريد تم التحقق منها واستخدامها بسرعة لاستكشاف بيئات الضحايا وتهريب بيانات إضافية.
لذلك، بينما تعتبر ميركور أول شركة في مجال توظيف الذكاء الاصطناعي تؤكد علنًا أنها كانت ضحية لهذه التسويات، فمن المؤكد أنها لن تكون الأخيرة.
مدى انتشار التأثير
يقدر صائدو التهديدات في vx-underground أن عدد لصوص البيانات الذين تم تسللهم قد وصل إلى بيانات وأسرار من 500,000 جهاز. وفي الأسبوع الماضي في مؤتمر RSA، صرح تشارلز كارماكال، المدير التنفيذي للتكنولوجيا في شركة Mandiant Consulting، للصحفيين أن شركة الاستجابة للحوادث المملوكة لشركة Google كانت على دراية بأكثر من 1,000 بيئة SaaS متأثرة كانت تتعامل بنشاط مع التأثير المتتالي لهجمات سلسلة التوريد التي نفذتها TeamPCP.
صرح كارماكال: هؤلاء الضحايا الذين يزيد عددهم عن 1,000 قد يتوسعون إلى 500 آخرين، و1,000 آخرين، وربما 10,000 آخرين. وأضاف: نعلم أن هؤلاء الفاعلين يتعاونون مع عدد من الفاعلين الآخرين في الوقت الحالي. وبالإضافة إلى Lapsus$، يتعاون TeamPCP أيضًا مع عصابات برامج الفدية مثل Cipherforce وVect لتسريب البيانات وابتزاز الضحايا، وفقًا لوحدة 42 (Unit 42) في بالو ألتو للشبكات (Palo Alto Networks).
يكشف هذا التسلسل من الأحداث عن مشهد تهديدات سيبرانية متطور ومعقد، حيث تستهدف عصابات الجريمة المنظمة نقاط الضعف في سلاسل التوريد البرمجية لشن هجمات واسعة النطاق. التحقيق المستمر من قبل الشركات المتأثرة والتحذيرات من خبراء الأمن تؤكد على الحاجة الماسة إلى تعزيز الدفاعات السيبرانية وتبني نهج أكثر حذرًا تجاه مكونات البرمجيات مفتوحة المصدر.