O framework PyTorch Lightning, amplamente utilizado para treinar, implantar e enviar produtos de IA, foi comprometido em um ataque ativo à cadeia de suprimentos. O pacote popular do PyPI lightning foi identificado como malicioso nas versões 2.6.2 e 2.6.3, que foram publicadas e flagradas pela equipe de pesquisa da Socket apenas 18 minutos após a publicação em 30 de abril de 2026. A versão 2.6.1, lançada em 30 de janeiro de 2026, permanece limpa e é considerada a última base segura.
Descoberta e Escopo da Ameaça
Com centenas de milhares de downloads diários e milhões de instalações mensais no PyPI, o lightning é uma pedra angular dos fluxos de trabalho de IA e aprendizado de máquina baseados em Python. O ataque visa diretamente máquinas de desenvolvedores, pipelines de CI/CD e ambientes de build na nuvem. Qualquer sistema que tenha instalado e importado as versões comprometidas é considerado em risco.
A análise da Socket revelou um diretório oculto _runtime embutido dentro dos pacotes maliciosos, contendo uma cadeia de execução de múltiplos estágios que ativa automaticamente quando o módulo é importado, sem necessidade de interação adicional do usuário. Os componentes identificados incluem um script start.py que baixa e executa o runtime Bun diretamente do GitHub e um payload JavaScript router_runtime.js pesadamente ofuscado.
Vetor e Exploração
O payload ofuscado router_runtime.js contém 11 MB de código com 703 referências a process e env, mais de 463 referências a tokens e material de autenticação, e 336 referências a repositórios. O malware roda silenciosamente com saída suprimida, tornando a detecção extremamente difícil. Ele visa exfiltração de credenciais, mirando tokens do GitHub, tokens do NPM, credenciais de nuvem (AWS, GCP, Azure), variáveis de ambiente e outros segredos.
O ataque também inclui abuso da API do GitHub, usando tokens roubados para comprometer dados codificados em repositórios controlados pelos atacantes. Além disso, o malware é capaz de envenenar tarballs de pacotes NPM de desenvolvedores para estender a persistência. O payload compartilha sobreposição técnica significativa com a campanha de ataque Shai-Hulud, incluindo padrões de mira de credenciais idênticos e técnicas de ofuscação.
Impacto e Alcance
Este incidente é consistente com a campanha escalada de cadeia de suprimentos de código aberto do Team PCP, que anteriormente comprometeu LiteLLM, Telnyx e Xinference em rápida sucessão. Durante a janela de resposta ao incidente, um atacante postou um link Tor onion no thread de issues do GitHub do Lightning-AI, apontando para um site com marcação do Team PCP e uma mensagem assinada por PGP reivindicando envolvimento do LAPSUS$ como "um bom parceiro".
A Socket não verificou independentemente essa atribuição e está investigando se a marcação do Team PCP reflete atribuição verdadeira, associação oportunista ou uma falsa bandeira deliberada. Relatórios da comunidade surgiram no repositório Lightning-AI, indicando que a conta de mantenedor do GitHub do projeto pode ter sido assumida.
Medidas de Mitigação Recomendadas
As equipes de segurança devem tratar qualquer ambiente que tenha instalado e importado as versões 2.6.2 ou 2.6.3 do lightning como totalmente comprometido e agir imediatamente. As ações recomendadas incluem remover as versões comprometidas de todos os sistemas afetados, fazer downgrade para a versão 2.6.1 ou aguardar confirmação oficial dos mantenedores.
É crucial rotacionar todas as credenciais, incluindo tokens do GitHub, tokens do NPM, chaves de acesso à nuvem (AWS, GCP, Azure) e quaisquer segredos armazenados em variáveis de ambiente. Além disso, audite repositórios do GitHub para commits não autorizados ou dados codificados suspeitos e revise logs de pipelines de CI/CD, estações de trabalho de desenvolvedores e sistemas de build onde o pacote pode ter sido importado.
Perguntas Frequentes
Como saber se meu ambiente foi afetado? Verifique as versões instaladas do pacote lightning no PyPI e compare com as versões seguras listadas.
Devo confiar nos mantenedores? A conta de mantenedor parece comprometida. Aguarde confirmação oficial de fontes seguras antes de atualizar.
Quais credenciais devem ser rotacionadas? Todas as credenciais de desenvolvedor, incluindo tokens de API, chaves de nuvem e segredos de ambiente.