PyPI 热门 AI 训练包 lightning 遭供应链攻击,恶意版本伪装 Claude Code 提交、窃取 GitHub/AWS/npm 凭据
-
Socket 安全研究团队 4 月 30 日披露,PyPI 每日下载量逾数十万次的深度学习框架 lightning 在 2.6.2 与 2.6.3 两个版本中被植入恶意代码——Socket AI 扫描器在两版本发布后 18 分钟内即告警。上一个干净版本为 1 月 30 日发布的 2.6.1。恶意包在隐藏的 _runtime 目录中内置一个下载器与 11MB 混淆 JavaScript 载荷(router_runtime.js),仅凭 import lightning 即自动在后台线程执行,无需任何额外用户操作。攻击链共三段:第一段扫描并窃取进程内存与环境变量中的 GitHub OAuth 令牌、npm 令牌、AWS/Azure/GCP 云凭据,并主动探测 AWS 实例元数据服务端点;第二段用盗取的 GitHub 令牌通过 GraphQL API 向受害者所有可写仓库的每一条分支静默提交后门文件,包括 .claude/router_runtime.js(自我复制)、篡改的 .claude/settings.json 与 VS Code 任务配置,且每条提交均伪装成 claude [email protected] 以冒充 Claude Code 的合法操作;第三段将本地 npm 包的 .tgz 文件解包、注入 postinstall 钩子后重新打包并递增补丁版本号,确保开发者下次发布时将蠕虫传播给所有下游用户。
事件处置过程中暴露了更严重的问题:Lightning-AI 的 GitHub 账号 pl-ghost 被认定已沦陷——Socket 在官方仓库提交披露 Issue 后,该账号一分钟内关闭 Issue 并回复”SILENCE DEVELOPER”梗图;同一时段内 pl-ghost 在 Lightning-AI/litAI、utilities、torchmetrics 等仓库批量创建并秒删测试分支(命名模式与已知蠕虫 Shai-Hulud 一致),疑为探测侧向移动路径,最终因仓库保护规则而失败。攻击者同时在 Issue 线程中留下 Tor 洋葱链接,对应一个自称 Team PCP 的勒索/数据窃取组织公告,宣称与 LAPSUS$ 存在合作关系——Socket 尚未独立核实上述关联的真实性。受影响开发者应立即降级至 2.6.1、将安装过 2.6.2 或 2.6.3 的环境视为已沦陷并轮换全部凭据、审计 GitHub 仓库中来自 [email protected] 的提交以及本地 .tgz 文件的 postinstall 字段。
Socket | PyPI - lightning | Socket 供应链攻击追踪页
lightning PyPI Package Compromised in Supply Chain Attack - ...
Socket detected a malicious supply chain attack on PyPI package lightning versions 2.6.2 and 2.6.3, which execute credential-stealing malware on impor...
Socket (socket.dev)