حمله زنجیره تأمین به کتابخانه Python LiteLLM: سرقت داده‌های حساس

By: crypto insight|2026/04/20 00:00:42

اشتراک‌گذاری

llm

crypto

Key Takeaways

در یک حمله زنجیره تأمین به کتابخانه ‌LiteLLM، حدود 300 گیگابایت داده و 500,000 اعتبارنامه به سرقت رفته است.
کارشناسان امنیتی از توسعه‌دهندگان ارزهای دیجیتال خواسته‌اند به سرعت بررسی و اقدامات امنیتی لازم انجام دهند.
این حمله توسط فایل‌های مخرب تزریق شده در PyPI انجام شده که می‌تواند به دزدی اطلاعات حساس بپردازد.
SlowMist هشدار داده تا توسعه‌دهندگان کلیدها و اعتبارنامه‌ها را تغییر داده و لاگ‌ها برای نشان‌های ضعف امنیتی بررسی شوند.

WEEX Crypto News, 25 مارس 2026

کاهش امنیت LiteLLM و هشدار به توسعه‌دهندگان

به تازگی کتابخانه پرکاربرد LiteLLM که به‌طور گسترده در پروژه‌های یادگیری ماشین و زبان‌های بزرگ (LLM) استفاده می‌شود، دچار یک حمله زنجیره تأمین شده است. این حمله که از طریق کتابخانه PyPI صورت گرفته، توسط فایل‌های مخربی که به راحتی با اجرای دستور pip install litellm قابل نصب هستند، به سرقت اطلاعات کاربران پرداخته است.

طبق گزارشاتی از SlowMist، این حمله منجر به دزدیده شدن حدود 300 گیگابایت داده و 500,000 اعتبارنامه شده است. توسعه‌دهندگان ارزهای دیجیتال و دیگر کاربرانی که از این کتابخانه استفاده می‌کنند باید به سرعت بررسی‌های امنیتی لازم را انجام داده و اقدامات لازم را جهت حفاظت از اطلاعات حساس خود انجام دهند.

جزئیات حمله و تاثیر آن بر کاربران

این حمله زنجیره تأمین که از آسیب‌پذیری LiteLLM سوءاستفاده کرده، در حقیقت بالاخره یک بار دیگر به توسعه‌دهندگان یادآوری می‌کند که حفظ امنیت زنجیره تأمین و نرم‌افزارهای وابسته چقدر مهم است. اطلاعات سرقت شده شامل کلید‌های خصوصی و اعتبارنامه‌های کاربرانی است که به هیچ صورت قصد افشای آن‌ها را نداشته‌اند.

هکرها با تزریق کدهای مخرب به داخل این کتابخانه توانسته‌اند اطلاعاتی با ارزش نظیر داده‌های رمزگذاری شده کاربران و اعتبارنامه‌های دسترسی به سیستم‌ها را بدست آورند. این امر باعث شده تا خطرات جدی نظیر مشابه با حادثه کیف پول Trust Wallet، که در آن اطلاعات مهمی لو رفت، توسعه‌دهندگان را تهدید کند.

اقدامات پیشگیرانه و پیشنهادات متخصصین امنیت

مسئولین امنیتی SlowMist به‌طور خاص هشدار داده‌اند تا تمام توسعه‌دهندگان و کاربران مرتبط با این کتابخانه نسبت به بررسی فوری سیستم‌های خود و انجام اقدامات زیر اقدام کنند:

ارتقای کلید‌ها و اعتبارنامه‌ها به جدیدترین نسخه‌ها
مرور لاگ‌های دسترسی و شناخت فعالیت‌های مشکوک
چک کردن نشت‌های احتمالی داده و پیشگیری از آسیب‌های بیشتر

این هشدار بخصوص در پی گزارشات اخیر که حاکی از افزایش حملات زنجیره تأمین بر روی نرم‌افزارهای متن‌باز است، اهمیت دارد. در صورت عدم انجام اقدامات پیشگیرانه، ممکن است داده‌های بیشتری در معرض خطر باشند و خسارت‌های جبران‌ناپذیری بر کاربران وارد شود.

نقش SlowMist در اطلاع‌رسانی و پیشگیری

شرکت امنیتی SlowMist که توسط 23pds مدیریت می‌شود، به عنوان یکی از نیروهای پیشرو در اطلاع‌رسانی و مبارزه با حملات سایبری، به توسعه‌دهندگان کمک می‌کند تا سیستم‌های خود را در برابر آسیب‌پذیری‌هایی مانند این حمله محافظت کنند. هشدارهای سریع و دقیق این شرکت امکان جلوگیری از تکرار حوادث مشابه و افزایش امنیت در جامعه توسعه‌دهندگان را فراهم می‌آورد.

نتیجه‌گیری

با توجه به نتایج این حادثه امنیتی، توصیه می‌شود که تمامی کاربران ارزهای دیجیتال و صاحبان پروژه‌های متن‌باز حتماً اقدامات امنیتی کافی را در نظر بگیرند. بررسی مناسب لاگ‌ها و ایمن‌سازی دائمی سیستم‌ها می‌تواند از وقوع حملات مشابه جلوگیری کرده و اطمینان را به کاربران بازگرداند.

با توجه به اهمیت موضوع، کاربران WEEX نیز می‌توانند با بهره‌گیری از پلتفرم امن WEEX که همواره بر امنیت کاربران خود تاکید دارد، از مزایای این پلتفرم با استفاده از [لینک ثبت نام](https://www.weex.com/register?vipCode=vrmi) بهره‌مند شوند.

سوالات متداول

چگونه می‌توان از این نوع حملات جلوگیری کرد؟

برای جلوگیری از این نوع حملات، همواره باید از نسخه‌های معتبر و رسمی کتابخانه‌ها استفاده کرد و نسبت به تبلیغات ناگهانی یا مشکوک آگاه بود.

چرا حملات زنجیره تأمین خطرناکند؟

زیرا این حملات می‌توانند منابع تامین نرم‌افزارها را نشانه گرفته و با تزریق کدهای مخرب اطلاعات کاربران بسیاری را به خطر بیاندازند.

آیا LiteLLM تنها کتابخانه آسیب‌پذیر است؟

بنابر شدت روند حملات زنجیره تأمین، هر کتابخانه محبوب می‌تواند هدف باشد، بنابراین همواره باید از صحت منابع اطمینان حاصل کرد.

چه اقداماتی می‌توان برای افزایش امنیت انجام داد؟

تعویض منظم کلیدها و اعتبارنامه‌ها، نظارت بر لاگ‌ها و ایجاد سیستم‌های هشدار خودکار می‌تواند امنیت را افزایش دهد.

آیا دسترسی به سیستم آسیب‌پذیر قابل بازیابی است؟

بله، اما نیازمند اقدامات فوری و بررسی دقیق توسط کارشناسان امنیتی است تا از بروز خسارات بیشتر جلوگیری شود.

قیمت --

ممکن است شما نیز علاقه‌مند باشید

کوک مشعل را می‌سپارد، آنتروپیک آماده می‌شود | خلاصه صبحگاهی اخبار ری‌وایر

در پنجره‌ی فرصت شکل‌دهی مجدد هوش مصنوعی به چشم‌انداز سخت‌افزار، اپل یک سازنده را برگزیده است.

آیا فدرال رزرو دوباره نرخ بهره را کاهش خواهد داد؟ داده‌های امشب کلیدی هستند

سیتی معتقد است که آشفتگی ژئوپلیتیکی موقتی است و مسیر کاهش نرخ بدون تغییر باقی می‌ماند. در همین حال، دویچه بانک هشدار می‌دهد که این سیاست به موضع خنثی رسیده است و در آینده قابل پیش‌بینی، هیچ کاهش نرخ بهره صورت نخواهد گرفت.

فردی که اپل را تصاحب می‌کند باید کاری را انجام دهد که قبلاً هرگز انجام نداده است

نرم‌افزار، هوش مصنوعی، خدمات—حوزه‌هایی که او در طول ۲۵ سال فعالیتش در اپل هرگز مستقیماً کنترل آنها را در دست نداشت

چرا همیشه در پولی‌مارکت پول از دست می‌دهید؟ چون شما روی اخبار شرط می‌بندید، در حالی که قوانین به نفع افراد مطلع است.

در پولی‌مارکت، اکثر افرادی که شرط‌بندی‌شان اشتباه از آب درمی‌آید، در پیش‌بینی خود اشتباه نکرده‌اند، بلکه به این دلیل است که قوانین را با دقت نخوانده‌اند.

نه افزایش قیمت، بلکه کمبود عرضه؟ قیمت نفت از مرز هشدار عبور کرد

قیمت ۹۵ دلار برای هر بشکه نفت برای ایجاد تعادل مجدد در بازار نفت کافی نیست.

a16z: ۵ راهی که بلاک‌چین به زیرساخت عامل هوش مصنوعی کمک می‌کند

هوش مصنوعی مقیاس‌پذیری را مقرون‌به‌صرفه می‌کند، اما ایجاد اعتماد دشوار است. ارز دیجیتال می‌تواند اعتماد را در مقیاس وسیع بازسازی کند.

کیف پول XRP چیست؟ بهترین کیف‌پول‌ها برای نگهداری XRP (به‌روزرسانی ۲۰۲۶)

یک کیف‌پول XRP به شما امکان می‌دهد تا به‌طور ایمن XRP را در دفتر کل XRP ذخیره، ارسال و دریافت کنید. بیاموزید کدام کیف‌پول‌ها از XRP پشتیبانی می‌کنند و بهترین کیف‌پول‌های XRP را برای مبتدیان و دارندگان بلندمدت در سال ۲۰۲۶ کشف کنید.

بهترین سکه‌های رمزنگاری هوش مصنوعی کدامند؟ رندر در مقابل. آکاش: ۵ جواهر که بحران GPU ۲۰۲۶ را حل می‌کنند

بهترین سکه‌های رمزنگاری هوش مصنوعی برای چرخه ۲۰۲۶ کدامند؟ فراتر از هیاهو، ما توکن‌های برتری مانند RNDR، AKT و FET را تحلیل می‌کنیم که راه‌حل‌های واقعی برای کمبود جهانی GPU و ظهور عوامل خودمختار ارائه می‌دهند.

توکن در هوش مصنوعی چیست؟ توکن هوش مصنوعی چیست + ۳ گوهر که در سال ۲۰۲۶ نباید از دست بدهید

عصر تبلیغات پیرامون هوش مصنوعی به عصر کاربردی بودن آن تبدیل شده است. با ورود به سه‌ماهه دوم سال ۲۰۲۶، بازار دیگر به پروژه‌های صرفاً روایتی پاداش نمی‌دهد. در WEEX Research، ما شاهد یک گردش سرمایه عظیم به سمت لایه‌های محاسبات غیرمتمرکز (DePIN) و هماهنگی عامل‌های خودمختار هستیم. این راهنما تحلیل می‌کند که کدام توکن‌های هوش مصنوعی در حال جذب نقدینگی نهادی هستند و چگونه می‌توان در یک بازار در حال بلوغ، فرصت‌های سرمایه‌گذاری با اطمینان بالا را شناسایی کرد.

نظرسنجی جهانی رمزنگاری سطح مصرف‌کننده: کاربران، درآمد و توزیع ردیابی

تعداد کاربران فعال رمزنگاری سطح مصرف‌کننده مدت‌هاست که به ده‌ها میلیون رسیده است، اما در دیده‌ی سیلیکون‌ولی و نیویورک قرار ندارد.

بازارهای پیش‌بینی تحت سوگیری

چرا روایت‌های معتبر همیشه بازارهای پیش‌بینی را کنار می‌گذارند؟

سرقت: ۲۹۰ میلیون دلار، سه طرف از تأیید خودداری می‌کنند، چه کسی باید هزینه حل و فصل حادثه KelpDAO را بپردازد؟

خطرناک‌ترین سناریو در حال حاضر این است که اگر قیمت اتریوم ناگهان کاهش یابد، بدهی معوق آوه می‌تواند بیشتر و بیشتر شود.

آسترئید در سه روز ۱۰٬۰۰۰ برابر پمپ شد، آیا فصل میم‌ها در اتریوم بازگشته است؟

«اسپیس داگ» باعث جهش قیمت شبکه اصلی ETH شد و موجب نگرانی جامعه SOL گردید.

نکات برجسته انجمن موضوعی ChainCatcher هنگ کنگ: رمزگشایی از موتور رشد تحت ادغام دارایی‌های دیجیتال و اقتصاد هوشمند

مهمانان به اتفاق آرا موافقت کردند که درک ارزش ارزهای دیجیتال از «صدور توکن صرفاً به خاطر صدور توکن» به سمت دنبال کردن مدل‌های کسب‌وکار پایدار، با تمرکز بیشتر بر بهره‌وری سرمایه، هزینه‌های پایین و تسویه حساب ۲۴ ساعته، در کنار سایر ارزش‌های کاربردی، در حال تغییر است.

میکسین قراردادهای دائمی با حاشیه سود USTD را راه‌اندازی کرده و معاملات مشتقات را به عرصه چت آورده است.

کیف پول رمزنگاری Mixin با محوریت حریم خصوصی، امروز از راه‌اندازی قرارداد دائمی مبتنی بر U خود (یک مشتقه با قیمت USDT) خبر داد. برخلاف صرافی‌های سنتی، میکسین با «رهاسازی» معاملات مشتقه از موتورهای تطبیق ایزوله و ادغام آن در محیط پیام‌رسان فوری، رویکرد جدیدی را در پیش گرفته است.

کاربران می‌توانند مستقیماً در داخل برنامه با اهرم تا ۲۰۰ برابر، موقعیت‌هایی را باز کنند، ضمن اینکه موقعیت‌ها را به اشتراک می‌گذارند، در مورد استراتژی‌ها بحث می‌کنند و معاملات را در جوامع خصوصی کپی می‌کنند. معاملات، تعامل اجتماعی و مدیریت دارایی در یک رابط کاربری واحد ادغام شده‌اند.

تجربه معاملاتی ساده: بدون نیاز به احراز هویت، افتتاح پوزیشن در پنج مرحله

میکسین، بر اساس معماری غیرمتولی خود، موانع موجود در فرآیند سنتی ثبت‌نام را از بین برده و به کاربران اجازه می‌دهد بدون تأیید هویت، در معاملات قراردادی دائمی شرکت کنند.

فرآیند معاملات به پنج مرحله ساده‌سازی شده است:

· دارایی معاملاتی را انتخاب کنید

· انتخاب بلند یا کوتاه

· اندازه موقعیت ورودی و اهرم

· جزئیات سفارش را تأیید کنید

· تأیید و باز کردن موقعیت

این رابط کاربری، تجسم بلادرنگ قیمت، موقعیت و سود و زیان (PnL) را فراهم می‌کند و به کاربران امکان می‌دهد بدون جابجایی بین ماژول‌های مختلف، معاملات را انجام دهند.

تجارت اجتماعی-بومی: استراتژی و اجرا در یک بستر انجام می‌شوند

میکسین مستقیماً ویژگی‌های اجتماعی را در محیط معاملات مشتقات ادغام کرده است. کاربران می‌توانند انجمن‌های معاملاتی خصوصی ایجاد کنند و در مورد موقعیت‌های لحظه‌ای با یکدیگر تعامل داشته باشند:

· گروه‌های خصوصی رمزگذاری شده سرتاسری با پشتیبانی تا 1024 عضو

· ارتباط صوتی رمزگذاری شده سرتاسری

· اشتراک‌گذاری موقعیت با یک کلیک

· کپی کردن معاملات با یک کلیک

در سمت اجرا، میکسین نقدینگی را از منابع متعدد جمع‌آوری می‌کند و از طریق یک رابط معاملاتی یکپارچه به پروتکل غیرمتمرکز و نقدینگی بازار خارجی دسترسی پیدا می‌کند.

با ترکیب تعامل اجتماعی با اجرای معاملات، Mixin به کاربران این امکان را می‌دهد که در یک محیط واحد، همکاری، اشتراک‌گذاری و استراتژی‌های معاملاتی را فوراً اجرا کنند.

مکانیسم ارجاع: کاربران غیر سازمانی می‌توانند تا ۶۰٪ کارمزد را تقسیم کنند

میکسین همچنین یک سیستم تشویقی برای ارجاع بر اساس رفتار معاملاتی معرفی کرده است:

· کاربران می‌توانند با کد دعوت عضو شوند

· تا 60٪ از کارمزد معاملات به عنوان پاداش معرفی

· مکانیزم تشویقی طراحی شده برای درآمدهای بلندمدت و پایدار

این مدل با هدف گسترش شبکه مبتنی بر کاربر و رشد ارگانیک طراحی شده است.

معماری خود-نگهداری و مکانیسم حفظ حریم خصوصی داخلی

تراکنش‌های مشتقه میکسین بر روی زیرساخت کیف پول خودکفا موجود آن ساخته شده‌اند و ویژگی‌های اصلی آن عبارتند از:

· تفکیک حساب تراکنش و ذخیره دارایی

· کنترل کامل کاربر بر دارایی‌ها

· پلتفرم از وجوه کاربران نگهداری نمی‌کند

· مکانیسم‌های حفظ حریم خصوصی داخلی برای کاهش افشای داده‌ها

هدف این سیستم ایجاد تعادل بین کارایی تراکنش‌ها، امنیت دارایی‌ها و حفاظت از حریم خصوصی است.

مسیری جدید برای مشتقات درون زنجیره‌ای

در شرایطی که قراردادهای دائمی به یک ابزار معاملاتی رایج تبدیل می‌شوند، میکسین با کاهش موانع و افزایش ویژگی‌های اجتماعی و حریم خصوصی، در حال بررسی مسیر توسعه متفاوتی است.

این پلتفرم نه تنها تراکنش‌ها را به عنوان اقدامات اجرایی می‌بیند، بلکه آنها را به عنوان یک فعالیت شبکه‌ای نیز در نظر می‌گیرد: تراکنش‌ها دارای ویژگی‌های اجتماعی هستند، استراتژی‌ها را می‌توان به اشتراک گذاشت و روابط بین افراد نیز بخشی از سیستم مالی می‌شود.

پیشینه نظارتی

طراحی Mixin بر اساس یک مدل آغاز شده توسط کاربر و کنترل شده توسط کاربر است. این پلتفرم نه دارایی‌ها را نگهداری می‌کند و نه تراکنش‌ها را از طرف کاربران انجام می‌دهد.

این مدل با بیانیه‌ای که توسط ایالات متحده صادر شده است، همسو است. کمیسیون بورس و اوراق بهادار (SEC) در ۱۳ آوریل ۲۰۲۶، با عنوان «بیانیه کارکنان در مورد اینکه آیا رابط کاربری جزئی مورد استفاده در آماده‌سازی معاملات اوراق بهادار ارزهای دیجیتال ممکن است نیاز به ثبت نام کارگزار-معامله‌گر داشته باشد یا خیر».

این بیانیه نشان می‌دهد که تحت این فرض که تراکنش‌ها کاملاً توسط کاربران آغاز و کنترل می‌شوند، ارائه‌دهندگان خدمات غیرمتصدی که رابط‌های بی‌طرف ارائه می‌دهند، ممکن است نیازی به ثبت نام به عنوان کارگزار-معامله‌گر یا صرافی نداشته باشند.

درباره میکسین

میکسین یک کیف پول غیرمتمرکز و خودکفا با حریم خصوصی است که برای ارائه خدمات مدیریت دارایی‌های دیجیتال ایمن و کارآمد طراحی شده است.

قابلیت‌های اصلی آن عبارتند از:

· تجمیع: ادغام دارایی‌های چند زنجیره‌ای و مسیریابی بین مسیرهای مختلف تراکنش برای ساده‌سازی عملیات کاربر

· دسترسی به نقدینگی بالا: اتصال به منابع مختلف نقدینگی، از جمله پروتکل‌های غیرمتمرکز و بازارهای خارجی

· تمرکززدایی: دستیابی به کنترل کامل کاربر بر دارایی‌ها بدون تکیه بر واسطه‌های متولی

· حفاظت از حریم خصوصی: حفاظت از دارایی‌ها و داده‌ها از طریق MPC، CryptoNote و ارتباطات رمزگذاری شده سرتاسری

میکسین بیش از ۸ سال است که فعالیت می‌کند و از بیش از ۴۰ بلاکچین و بیش از ۱۰،۰۰۰ دارایی پشتیبانی می‌کند، با یک پایگاه کاربر جهانی بیش از ۱۰ میلیون نفر و مقیاس دارایی‌های خودکفا درون زنجیره‌ای بیش از ۱ میلیارد دلار.