<![CDATA[PyPI 热门 AI 训练包 lightning 遭供应链攻击，恶意版本伪装 Claude Code 提交、窃取 GitHub/AWS/npm 凭据]]>

<![CDATA[PyPI 热门 AI 训练包 lightning 遭供应链攻击，恶意版本伪装 Claude Code 提交、窃取 GitHub/AWS/npm 凭据]]>Socket 安全研究团队 4 月 30 日披露，PyPI 每日下载量逾数十万次的深度学习框架 lightning 在 2.6.2 与 2.6.3 两个版本中被植入恶意代码——Socket AI 扫描器在两版本发布后 18 分钟内即告警。上一个干净版本为 1 月 30 日发布的 2.6.1。恶意包在隐藏的 _runtime 目录中内置一个下载器与 11MB 混淆 JavaScript 载荷（router_runtime.js），仅凭 import lightning 即自动在后台线程执行，无需任何额外用户操作。攻击链共三段：第一段扫描并窃取进程内存与环境变量中的 GitHub OAuth 令牌、npm 令牌、AWS/Azure/GCP 云凭据，并主动探测 AWS 实例元数据服务端点；第二段用盗取的 GitHub 令牌通过 GraphQL API 向受害者所有可写仓库的每一条分支静默提交后门文件，包括 .claude/router_runtime.js（自我复制）、篡改的 .claude/settings.json 与 VS Code 任务配置，且每条提交均伪装成 claude claude@users.noreply.github.com 以冒充 Claude Code 的合法操作；第三段将本地 npm 包的 .tgz 文件解包、注入 postinstall 钩子后重新打包并递增补丁版本号，确保开发者下次发布时将蠕虫传播给所有下游用户。

事件处置过程中暴露了更严重的问题：Lightning-AI 的 GitHub 账号 pl-ghost 被认定已沦陷——Socket 在官方仓库提交披露 Issue 后，该账号一分钟内关闭 Issue 并回复”SILENCE DEVELOPER”梗图；同一时段内 pl-ghost 在 Lightning-AI/litAI、utilities、torchmetrics 等仓库批量创建并秒删测试分支（命名模式与已知蠕虫 Shai-Hulud 一致），疑为探测侧向移动路径，最终因仓库保护规则而失败。攻击者同时在 Issue 线程中留下 Tor 洋葱链接，对应一个自称 Team PCP 的勒索/数据窃取组织公告，宣称与 LAPSUS$ 存在合作关系——Socket 尚未独立核实上述关联的真实性。受影响开发者应立即降级至 2.6.1、将安装过 2.6.2 或 2.6.3 的环境视为已沦陷并轮换全部凭据、审计 GitHub 仓库中来自 claude@users.noreply.github.com 的提交以及本地 .tgz 文件的 postinstall 字段。

Socket | PyPI - lightning | Socket 供应链攻击追踪页

lightning PyPI Package Compromised in Supply Chain Attack - ...

Socket detected a malicious supply chain attack on PyPI package lightning versions 2.6.2 and 2.6.3, which execute credential-stealing malware on impor...

Socket (socket.dev)

Just a moment...

(socket.dev)

]]>https://welinux.com//topic/138/pypi-热门-ai-训练包-lightning-遭供应链攻击-恶意版本伪装-claude-code-提交-窃取-github-aws-npm-凭据RSS for NodeSat, 02 May 2026 18:07:58 GMTSat, 02 May 2026 03:09:20 GMT60