PyTorch Lightning 中招蠕虫
4 月 30 日有人把 lightning 2.6.2 和 2.6.3 推到了 PyPI,里面藏了一个 _runtime 目录和一段混淆 JS payload,模块一被 import 就执行。Socket 在发布 18 分钟后就标了恶意。payload 干的事:偷开发者凭证、云密钥、环境变量、加密货币钱包,临走前还要污染你的 GitHub 仓库。Lightning 一天下载量几十万次。
这是 Mini Shai-Hulud 变种——跟上个季度横扫 SAP 相关 npm 包的那个蠕虫同族。它能从 npm 跳进 Python 还专门挑 AI 训练框架,这个细节谁都不应该忽视。PyTorch Lightning 基本上每一个研究实验室、每一个训练模型的创业公司、每一个跑微调的团队都在用。两个恶意版本活了几个小时,爆炸半径是半个 AI 圈的 CI runner。
攻击向量也朴素得令人沮丧。搞到一个 maintainer 凭证,发个 release,post-install hook 在所有自动升版的 CI 环境里跑。不需要什么花哨漏洞。Lightning 团队已经撤掉了版本,但如果你在发布到撤回之间跑过构建,就当 token 已经丢了。AWS key、GitHub PAT、Anthropic 和 OpenAI key,全部 rotate。
更大的格局难以忽略。3 月 LiteLLM,今天 Lightning,昨天刚出的 OpenAI macOS 桌面 app 中 Axios 木马。AI 基础设施现在是供应链攻击的头号目标,因为那里放着爆炸半径最大的 key。锁版本 + PyPI trusted publisher 上个季度就该不再是可选项了。https://semgrep.dev/blog/2026/malicious-dependency-in-pytorch-lightning-used-for-ai-training/
← 返回所有文章
这是 Mini Shai-Hulud 变种——跟上个季度横扫 SAP 相关 npm 包的那个蠕虫同族。它能从 npm 跳进 Python 还专门挑 AI 训练框架,这个细节谁都不应该忽视。PyTorch Lightning 基本上每一个研究实验室、每一个训练模型的创业公司、每一个跑微调的团队都在用。两个恶意版本活了几个小时,爆炸半径是半个 AI 圈的 CI runner。
攻击向量也朴素得令人沮丧。搞到一个 maintainer 凭证,发个 release,post-install hook 在所有自动升版的 CI 环境里跑。不需要什么花哨漏洞。Lightning 团队已经撤掉了版本,但如果你在发布到撤回之间跑过构建,就当 token 已经丢了。AWS key、GitHub PAT、Anthropic 和 OpenAI key,全部 rotate。
更大的格局难以忽略。3 月 LiteLLM,今天 Lightning,昨天刚出的 OpenAI macOS 桌面 app 中 Axios 木马。AI 基础设施现在是供应链攻击的头号目标,因为那里放着爆炸半径最大的 key。锁版本 + PyPI trusted publisher 上个季度就该不再是可选项了。https://semgrep.dev/blog/2026/malicious-dependency-in-pytorch-lightning-used-for-ai-training/
评论