Bösartiges PyTorch Lightning-Paket stiehlt Anmeldedaten und infiziert npm-Pakete
Das PyPI-Paket lightning – ein Deep-Learning-Framework für Bildklassifikation, LLM-Feinabstimmung, Diffusionsmodelle und Zeitreihenprognosen – wurde bei einem Supply-Chain-Angriff kompromittiert, der die Versionen 2.6.2 und 2.6.3 betrifft, veröffentlicht am 30. April 2026. Ein einfaches pip install lightning löst beim Import den bösartigen Code aus.
Was die Malware tut
Die schädlichen Versionen enthalten ein verstecktes _runtime-Verzeichnis mit obfuskiertem JavaScript-Code, der beim Modulimport automatisch ausgeführt wird. Er stiehlt:
- Anmeldedaten und Authentifizierungstoken
- Umgebungsvariablen
- Cloud-Geheimnisse
Außerdem versucht er, GitHub-Repositories zu infizieren, indem er öffentliche Repos mit dem Namen EveryBoiWeBuildIsaWormBoi erstellt. Der Angriff verwendet Namenskonventionen aus Dune, passend zur früheren Mini-Shai-Hulud-Kampagne.
Ökosystemübergreifende Verbreitung: PyPI zu npm
Während der Einstiegspunkt PyPI ist, ist die Malware-Payload JavaScript. Sobald sie ausgeführt wird und npm-Publish-Anmeldedaten findet, injiziert sie einen setup.mjs-Dropper und router_runtime.js in jedes Paket, das mit diesem Token veröffentlicht werden kann. Sie setzt scripts.preinstall, um den Dropper auszuführen, erhöht die Patch-Version und veröffentlicht erneut. Jeder nachgelagerte Entwickler, der diese Pakete installiert, führt die vollständige Malware aus, was zu Token-Diebstahl und weiterer Wurmverbreitung führt.
Indikatoren für eine Kompromittierung
Überprüfen Sie Ihre Projekte auf:
- Unerwartete
.claude/- oder.vscode/-Verzeichnisse mit seltsamen Inhalten - Neue öffentliche Repositories mit dem Namen
EveryBoiWeBuildIsaWormBoi - Unerwartete npm-Pakete, die unter Ihrem Konto veröffentlicht wurden
Abhilfe
Wenn Sie lightning in Version 2.6.2 oder 2.6.3 in einem Projekt haben:
- Entfernen Sie das Paket und führen Sie ein Downgrade auf eine sichere Version durch
- Rotieren Sie alle GitHub-Token, Cloud-Anmeldedaten und API-Schlüssel, die in der betroffenen Umgebung vorhanden waren
- Scannen Sie Ihre Repositories auf die oben genannten injizierten Dateien
- Überprüfen Sie Ihre npm-Token und prüfen Sie veröffentlichte Pakete auf unbefugte Änderungen
Semgrep hat einen Advisory und eine Regel veröffentlicht; starten Sie einen neuen Scan Ihrer Projekte und prüfen Sie die Advisories-Seite unter semgrep.dev/orgs/-/advisories, ob ein Projekt diese Versionen installiert hat.
📖 Read the full source: HN AI Agents
👀 Siehe auch
Blindfold: Ein Plugin, das verhindert, dass Claude Code Ihre .env-Dateien liest
Blindfold ist ein neues Plugin, das Claude Code daran hindert, tatsächliche geheime Werte in .env-Dateien abzurufen, indem es diese im Betriebssystem-Keychain speichert und Platzhalter wie {{STRIPE_KEY}} verwendet, mit Hooks, die direkte Zugriffsversuche blockieren.
ClawVault-Sicherheitsverbesserung fügt sensible Datenerkennung für OpenClaw hinzu
Eine neue Verbesserung für ClawVault fügt eine Echtzeit-Erkennung sensibler Daten und automatische Bereinigung für OpenClaw-API-Datenverkehr hinzu, wobei Klartext-Passwörter, API-Schlüssel und Tokens abgefangen werden, bevor sie LLM-Anbieter erreichen.
Hackerbot-Claw: KI-Bot, der GitHub Actions-Workflows ausnutzt
Ein KI-gestützter Bot namens hackerbot-claw führte eine einwöchige automatisierte Angriffskampagne gegen CI/CD-Pipelines durch und erreichte Remote-Code-Ausführung bei mindestens 4 von 6 Zielen, darunter Microsoft, DataDog und CNCF-Projekte. Der Bot verwendete 5 verschiedene Exploit-Techniken und exfiltrierte ein GitHub-Token mit Schreibberechtigungen.
Anthropics Computer-Nutzungsfunktion löst in realem Test Governance-Sperre aus
Anthropic führte Computer-Nutzungsfunktionen ein, und während der Implementierung von Governance-Kontrollen löste ein Risikoschwellenwert eine LOCKDOWN-Haltung aus, die alle mutierenden Operationen blockierte, einschließlich der eigenen Governance-Arbeit des Operators.