Popularna biblioteka do uczenia maszynowego PyTorch Lightning została skompromitowana w ataku na łańcuch dostaw, który dotknął wersje 2.6.2 i 2.6.3 opublikowane 30 kwietnia 2026 roku. Złośliwe oprogramowanie, inspirowane tematyką z powieści „Diuna”, kradnie dane uwierzytelniające i próbuje zarażać repozytoria GitHub. Szczegółowy raport opublikowała firma Semgrep, która odkryła kompromitację.
Atak dotyka zespoły tworzące klasyfikatory obrazów, dostrajające duże modele językowe, pracujące z modelami dyfuzyjnymi lub rozwijające prognozy szeregów czasowych — wszystkie te zastosowania często używają biblioteki lightning w swoich zależnościach. Wystarczy wykonać polecenie pip install lightning aby aktywować złośliwy kod.
Kluczowe wnioski
- Skompromitowane zostały wersje 2.6.2 i 2.6.3 biblioteki lightning, szeroko używanej w projektach sztucznej inteligencji.
- Malware kradnie dane uwierzytelniające, tokeny, zmienne środowiskowe i sekrety chmurowe z czterech równoległych kanałów eksfiltracji.
- Atak rozprzestrzenia się między ekosystemami — zaczyna w PyPI, ale propaguje przez npm, zarażając kolejne pakiety.
- Złośliwe oprogramowanie tworzy mechanizmy trwałości w narzędziach deweloperskich Claude Code i VS Code.
- Firma Semgrep łączy ten atak z wcześniejszą kampanią „Mini Shai-Hulud” ze względu na podobną strukturę i tematykę z „Diuny”.
Mechanizm ataku i rozprzestrzenianie
Złośliwe wersje zawierają ukryty katalog _runtime z zaciemnioną ładunkiem JavaScript, który wykonuje się automatycznie przy imporcie modułu. W przeciwieństwie do poprzedniej kampanii Mini Shai-Hulud, która atakowała bezpośrednio npm, tym razem punktem wejścia jest PyPI, choć ładunek nadal używa JavaScript i rozprzestrzenia się przez npm.
Gdy malware znajdzie dane uwierzytelniające npm, wstrzykuje dropper setup.mjs i router_runtime.js do każdego pakietu, do którego token może publikować. Następnie ustawia scripts.preinstall do wykonania droppera, zwiększa wersję patch i ponownie publikuje pakiet. Każdy deweloper, który zainstaluje taki zarażony pakiet, uruchamia pełny malware na swojej maszynie.
Mechanizmy eksfiltracji danych
System eksfiltracji wykorzystuje cztery równoległe kanały, aby zagwarantować, że skradzione dane dotrą do atakujących nawet gdy niektóre ścieżki zostaną zablokowane:
- HTTPS POST na serwer C2 — dane są natychmiast wysyłane na kontrolowany przez atakujących serwer przez port 443
- GitHub commit search dead-drop — malware odpytuje API wyszukiwania commitów GitHub szukając wiadomości z prefiksem „EveryBoiWeBuildIsAWormyBoi”
- Publiczne repozytorium GitHub — tworzone jest nowe publiczne repozytorium z losową nazwą inspirowaną „Diuną” i opisem „A Mini Shai-Hulud has Appeared”
- Push do własnego repo ofiary — jeśli malware uzyska token serwera GitHub (
ghs_), wypycha skradzione dane bezpośrednio do wszystkich gałęzi repozytorium ofiary
Malware celuje w dane uwierzytelniające z plików lokalnych, zmiennych środowiskowych, pipeline'ów CI/CD oraz wszystkich trzech głównych dostawców chmury: AWS, Azure i GCP. Skanuje ponad 80 ścieżek plików z danymi uwierzytelniającymi, wyciąga sekrety z pamięci procesów GitHub Actions i enumeruje sekrety w usługach chmurowych.
Trwałość przez narzędzia deweloperskie
Po przedostaniu się do repozytorium, malware instaluje mechanizmy trwałości w dwóch najpopularniejszych narzędziach deweloperskich. W przypadku Claude Code zapisuje hook SessionStart w pliku .claude/settings.json, który uruchamia się za każdym razem gdy deweloper otwiera Claude Code w zarażonym repozytorium. Podobny mechanizm działa dla VS Code przez plik .vscode/setup.mjs.
Może to być jeden z pierwszych udokumentowanych przypadków nadużycia systemu hooków Claude Code w rzeczywistym ataku. Każda maszyna, która zaimportowała złośliwy pakiet w czasie kompromitacji, powinna być traktowana jako w pełni skompromitowana.
