Pacote Malicioso do PyTorch Lightning Rouba Credenciais e Infecta Pacotes npm
O pacote PyPI lightning — um framework de deep learning usado para classificação de imagens, fine-tuning de LLMs, modelos de difusão e previsão de séries temporais — foi comprometido em um ataque à cadeia de suprimentos afetando as versões 2.6.2 e 2.6.3, publicadas em 30 de abril de 2026. Simplesmente executar pip install lightning aciona o código malicioso na importação.
O que o Malware Faz
As versões maliciosas contêm um diretório oculto _runtime com um payload JavaScript ofuscado que é executado automaticamente ao importar o módulo. Ele rouba:
- Credenciais e tokens de autenticação
- Variáveis de ambiente
- Segredos da nuvem
Também tenta envenenar repositórios GitHub criando repositórios públicos chamados EveryBoiWeBuildIsaWormBoi. O ataque usa convenções de nomenclatura com tema Dune, consistentes com a campanha anterior Mini Shai-Hulud.
Propagação entre Ecossistemas: PyPI para npm
Embora o ponto de entrada seja o PyPI, o payload do malware é JavaScript. Uma vez em execução, se encontrar credenciais de publicação npm, ele injeta um dropper setup.mjs e router_runtime.js em todos os pacotes que esse token pode publicar. Ele define scripts.preinstall para executar o dropper, aumenta a versão patch e republica. Qualquer desenvolvedor downstream que instalar esses pacotes executa o malware completo, levando ao roubo de tokens e à propagação do worm.
Indicadores de Comprometimento
Audite seus projetos para:
- Diretórios inesperados
.claude/ou.vscode/com conteúdos estranhos - Novos repositórios públicos chamados
EveryBoiWeBuildIsaWormBoi - Pacotes npm inesperados publicados em sua conta
Remediação
Se você tem lightning versão 2.6.2 ou 2.6.3 em algum projeto:
- Remova o pacote e faça downgrade para uma versão segura
- Rotacione todos os tokens GitHub, credenciais de nuvem e chaves de API que estavam presentes no ambiente afetado
- Escaneie seus repositórios em busca dos arquivos injetados listados acima
- Verifique seus tokens npm e audite pacotes publicados em busca de modificações não autorizadas
O Semgrep publicou um aviso e uma regra; acione uma nova varredura em seus projetos e verifique a página de avisos em semgrep.dev/orgs/-/advisories para ver se algum projeto instalou essas versões.
📖 Leia a fonte completa: HN AI Agents
👀 See Also
Clawvisor: Camada de Autorização Baseada em Propósito para Agentes OpenClaw
Clawvisor é uma camada de autorização que fica entre agentes de IA e APIs, aplicando autorização baseada em propósito, onde os agentes declaram intenções, os usuários aprovam propósitos específicos e um guardião de IA verifica cada solicitação em relação a esse propósito. As credenciais nunca saem do Clawvisor e os agentes nunca as veem.
Sandboxing de Agentes de IA com WebAssembly: Autoridade Zero por Padrão
Cosmonic argumenta que o sandboxing tradicional (seccomp, bubblewrap) falha para agentes de IA devido à autoridade ambiente. O modelo baseado em capacidades do WebAssembly concede autoridade zero por padrão, exigindo importações explícitas para sistema de arquivos, rede ou credenciais.
arifOS: Um Kernel de Governança MCP de US$ 15 para Segurança da Ferramenta OpenClaw
arifOS é um servidor MCP leve que intercepta chamadas de ferramentas OpenClaw, pontua-as de 000 a 999 e bloqueia ações inseguras com 13 pisos de segurança rígidos antes que alcancem sistemas de arquivos, APIs ou bancos de dados.
Benchmark de Segurança: 10 LLMs Testados Contra 211 Sondagens Adversariais
Um pesquisador de segurança testou 10 LLMs contra 211 ataques adversariais, descobrindo que a resistência à extração tem média de 85%, enquanto a resistência à injeção tem média de apenas 46,2%. Todos os modelos falharam completamente em ataques de injeção por delimitador, distração e estilo.