PyTorch Lightning na PyPI zainfekowany kradzieżą poświadczeń

TL;DR

¹ Złośliwa wersja pakietu PyTorch Lightning opublikowana na PyPI zawiera payload do kradzieży poświadczeń. ² Wersja 2.6.3 zawierała ukryty łańcuch wykonania pobierający JavaScript runtime. ³ Atak został ujawniony 30 kwietnia. ⁴ Pakiet został przywrócony do wersji 2.6.1, która jest bezpieczna. ⁵ Użytkownicy, którzy uruchomili import lightning z wersją 2.6.3 mogą mieć skompromitowane sekrety, klucze i tokeny.

Co zrobić w 24h: Sprawdź jakie wersje PyTorch Lightning masz zainstalowane. Jeśli 2.6.2 lub 2.6.3 — odinstaluj, zainstaluj 2.6.1, zmień wszystkie klucze API, tokeny GitHub i hasła przeglądarki.

---

Wektor ataku: od importu do kradzieży

⁶ PyTorch Lightning to framework do głębokich sieci neuronowych, używany do pretrainingu i fine-tuningu modeli AI. ⁷ Pakiet miał ponad 11 milionów pobrań w ostatnim miesiącu — co czyni go atrakcyjnym celem dla atakujących.

⁸ Łańcuch wykonania uruchamiał się automatycznie przy imporcie i inicjował proces w tle — bez żadnego ostrzeżenia czy interakcji użytkownika. ⁹ Proces pobierał środowisko uruchomieniowe JavaScript Bun v1.3.13 z GitHub i wykonywał obfuskowany payload JavaScript o rozmiarze 11,4 MB.

To klasyczny atak na łańcuch dostaw (supply chain attack). Atakujący nie musiał infekować milionów maszyn — wystarczyło zainfekować jedno repozytorium na PyPI, a reszta robi się sama.

Payload: ShaiWorm

¹⁰ Payload wykrywany jako „ShaiWorm” to malware do kradzieży informacji celujący w pliki .env, klucze API, sekrety i tokeny GitHub. ¹¹ Malware celuje w dane przechowywane w przeglądarkach Chrome, Firefox i Brave. ¹² Oprogramowanie wchodzi w interakcję z API usług chmurowych (AWS, Azure, GCP) w celu kradzieży poświadczeń. ¹³ Payload umożliwia wykonywanie dowolnych poleceń systemowych.

W praktyce — jeśli zainstalowano PyTorch Lightning 2.6.3 i uruchomiono import lightning, malware miał dostęp do:

• Wszystkich haseł i tokenów zapisanych w przeglądarce
• Zmiennych środowiskowych (pliki .env) — tutaj siedzi większość kluczy API
• Poświadczeń do AWS, Azure, GCP
• Tokenów GitHub

Propagacja: robak w repozytorium

¹⁴ Tokeny GitHub były walidowane względem endpointu api.github[.]com/user przed użyciem do wstrzyknięcia payloadu robaka. ¹⁵ Malware wstrzykiwał payload do maksymalnie 50 gałęzi pobranych z każdego repozytorium, do którego token miał uprawnienia do zapisu. ¹⁶ Każdy zatruty commit był autoryzowany przy użyciu sztywno zakodowanej tożsamości mającej na celu podszywanie się pod Claude Code firmy Anthropic.

To oznacza, że jeśli token GitHub znajdował się w zmiennych środowiskowych, malware nie tylko go ukradł — ale również zainfekował powiązane repozytoria. Commity wyglądały jak pochodzące od Claude’a (AI Anthropic), co mogło zmylić recenzję kodu.

¹⁷ Malware implementował wektor propagacji oparty na npm poprzez modyfikację lokalnych pakietów npm programisty.

---

Skala: mała, ale strategiczna

¹⁸ Według telemetrii Microsoft złośliwa aktywność dotknęła małej liczby urządzeń. ¹⁹ Microsoft Threat Intelligence wykrył i zablokował złośliwą procedurę w środowiskach klientów.

To nie masowy atak — to atak celowy. ²⁰ Kampania jest oceniana jako rozszerzenie incydentu Mini Shai-Hulud skierowanego w pakiety npm związane z SAP. Atakujący skupiają się na wysokocelowych ofiarach: firmy AI, startupy, zespoły data science.

---

Co zrobić w 24-48h

1. Sprawdź zainstalowaną wersję

Sprawdź wersję pakietu poleceniem pip show lightning oraz pip show pytorch-lightning. ² Zagrożona jest wersja 2.6.3. ⁴ Bezpieczna, przywrócona na PyPI wersja to 2.6.1.

2. Cofnij pakiet do bezpiecznej wersji

Jeśli zainstalowano 2.6.3, odinstaluj ją i wymuś bezpieczną wersję: pip install "lightning==2.6.1". Wyczyść lokalny cache (pip cache purge), aby uniknąć ponownej instalacji zatrutego artefaktu z pamięci podręcznej.

3. Potraktuj sekrety jako skompromitowane

⁵ Każde środowisko, w którym wykonano import lightning z wersją 2.6.3, należy uznać za skompromitowane. Zrotuj klucze API, tokeny GitHub oraz poświadczenia chmurowe (AWS, Azure, GCP), a także hasła zapisane w przeglądarkach (Chrome, Firefox, Brave). Przejrzyj pliki .env pod kątem wrażliwych danych, które mogły wyciec.

4. Skontroluj repozytoria GitHub

¹⁵ Złośliwy kod wstrzykiwał payload do nawet 50 gałęzi w repozytoriach, do których token miał prawo zapisu. Przejrzyj historię commitów i listę gałęzi swoich repozytoriów pod kątem nieautoryzowanych zmian — ¹⁶ zwłaszcza commitów podszywających się pod tożsamość Claude Code. Unieważnij potencjalnie wykorzystane tokeny i wygeneruj nowe z minimalnym zakresem uprawnień.

Źródła

Zobacz też

• Krytyczna luka w guardrails-ai: złośliwy pakiet w PyPI kradł klucze API
• CVE-2025-51427: RCE w ModelScope. Zagrożenie dla projektów AI
• FEMITBOT: Telegram Mini Apps w scamach krypto

Footnotes

1. Złośliwa wersja pakietu PyTorch Lightning opublikowana na PyPI dostarcza payload do kradzieży poświadczeń — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

2. Wersja 2.6.3 pakietu PyTorch Lightning zawierała ukryty łańcuch wykonania pobierający JavaScript runtime — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩ ↩²

3. Atak został ujawniony 30 kwietnia przez dewelopera — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

4. PyTorch Lightning został przywrócony do wersji 2.6.1 na PyPI, która jest bezpieczna — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩ ↩²

5. Użytkownicy którzy uruchomili ‘import lightning’ z wersją 2.6.3 mogą mieć skompromitowane sekrety, klucze i tokeny — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩ ↩²

6. PyTorch Lightning to framework do głębokich sieci neuronowych używany do pretrainingu i fine-tuningu modeli AI — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

7. Pakiet PyTorch Lightning miał ponad 11 milionów pobrań w ostatnim miesiącu — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

8. Łańcuch wykonania uruchamiał się automatycznie przy imporcie i uruchamiał proces w tle — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

9. Proces pobierał środowisko uruchomieniowe JavaScript Bun v1.3.13 z GitHub i wykonywał obfuskowany payload JavaScript o rozmiarze 11,4 MB — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

10. Payload wykrywany jako ‘ShaiWorm’ to malware do kradzieży informacji celujący w pliki .env, klucze API, sekrety i tokeny GitHub — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

11. Payload celuje w dane przechowywane w przeglądarkach Chrome, Firefox i Brave — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

12. Malware wchodzi w interakcję z API usług chmurowych (AWS, Azure, GCP) w celu kradzieży poświadczeń — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

13. Payload wspiera wykonywanie dowolnych poleceń systemowych — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

14. Tokeny GitHub były walidowane względem endpointu ‘api.github[.]com/user’ przed użyciem do wstrzyknięcia payload’u robaka — https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html ↩

15. Malware wstrzykiwał payload do maksymalnie 50 gałęzi pobranych z każdego repozytorium, do którego token miał dostęp do zapisu — https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html ↩ ↩²

16. Każdy zatruty commit był autoryzowany przy użyciu sztywno zakodowanej tożsamości mającej na celu podszywanie się pod Claude Code firmy Anthropic — https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html ↩ ↩²

17. Malware implementował wektor propagacji oparty na npm poprzez modyfikację lokalnych pakietów npm dewelopera — https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html ↩

18. Według telemetrii Microsoft złośliwa aktywność dotknęła ‘małą liczbę urządzeń’ — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

19. Microsoft Threat Intelligence wykrył i zapobiegł złośliwej rutynie w środowiskach klientów — https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/ ↩

20. Kampania jest oceniana jako rozszerzenie incydentu Mini Shai-Hulud celującego w pakiety npm związane z SAP — https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html ↩