機械学習ライブラリ PyTorch Lightning の改ざんバージョン 2.6.2 と 2.6.3 が、4 月 30 日に PyPI 上で公開されたことが判明しました。Lightning は月間数百万ダウンロード規模の人気パッケージで、影響範囲は広範に及ぶ可能性があります。
主なポイント
- 改ざんパッケージは隠し
_runtimeディレクトリにダウンローダと難読化された JavaScript ペイロードを同梱。lightningモジュールをインポートした時点で自動実行され、ユーザー側の追加操作は不要だった。 - 標的は SSH キー、シェル履歴、AWS / GCP / Azure などのクラウド認証情報、GitHub と npm のトークン、暗号資産ウォレットなど。攻撃者管理下の GitHub リポジトリへ流出する設計。
- メンテナによれば PyPI 上で公開されていたのは約 42 分。PyPI の管理者が隔離措置を取り、現在は両バージョンが削除されている。安全な最新版は 2.6.1。
- 攻撃は同時期に SAP 系 npm パッケージ (mbt、@cap-js/db-service ほか) を狙った『Mini Shai-Hulud』キャンペーンと類似のコード・戦術を共有しており、研究者は TeamPCP に中程度の確度で帰属している。
出典: PyTorch Lightning and Intercom-client Hit in Supply Chain Attacks to Steal Credentials