Attacco PyTorch Lightning: rischio supply chain rivelato

Scopri i dettagli dell'attacco supply chain a PyTorch Lightning: versioni malevole, propagazione npm e impersonificazione AI. Ecco cosa sapere.

Contenuto

Attacco PyTorch Lightning: rischio supply chain rivelato
Attacco PyTorch Lightning: rischio supply chain rivelato

Con oltre 31.100 stelle su GitHub, il celebre progetto open-source PyTorch Lightning è stato colpito oggi, 30 aprile 2026, da un grave attacco alla supply chain. Le versioni 2.6.2 e 2.6.3 del pacchetto Python lightning sono state pubblicate con codice malevolo, trasformando le macchine degli sviluppatori in vettori di infezione e rubando credenziali GitHub.

Compromissione PyTorch Lightning: il vettore di attacco

L'evento si è materializzato il 30 aprile 2026 con la pubblicazione delle versioni compromesse su PyPI. La versione precedente, la 2.6.1 rilasciata il 30 gennaio 2026, è considerata pulita e rappresenta l'ultima baseline sicura prima dell'infezione.

Lo scanner di sicurezza Socket ha rilevato le versioni malevole soltanto 18 minuti dopo la loro pubblicazione, un tempo di reazione rapido che tuttavia ha lasciato una finestra di esposizione iniziale. Secondo l'analisi di Socket, "The malicious package includes a hidden _runtime directory containing a downloader and an obfuscated JavaScript payload. The execution chain runs automatically when the lightning module is imported, requiring no additional user action after installation and import."

Esecuzione automatica e furto di credenziali GitHub

La catena di esecuzione del malware sfrutta un'architettura ibrida che supera i confini del solo ecosistema Python. All'importazione del modulo, lo script Python start.py scarica ed esegue il runtime JavaScript Bun, il quale a sua volta processa il payload malevolo offuscato router_runtime.js, dalla dimensione notevole di 11 MB.

Questo payload è progettato per il furto massivo di credenziali. All'interno del codice offuscato sono stati identificati oltre 703 riferimenti a processi e variabili d'ambiente, più di 463 riferimenti a token e materiali di autenticazione e 336 riferimenti a repository. I token GitHub rubati vengono validati dall'attaccante contro l'endpoint api.github[.]com/user.

Una volta assicurato l'accesso, il malware utilizza i token per iniettare un payload di tipo worm in fino a 50 branch per ogni repository accessibile in scrittura. Come spiegato da Socket, "The operation is an upsert: it creates files that do not yet exist and silently overwrites files that do. No pre-check for existing content is performed."

Impersonificazione AI e propagazione npm locale

L'angolazione più rilevante di questa campagna risiede nell'evoluzione delle tecniche di offuscamento sociale e di propagazione locale. Ogni commit avvelenato viene firmato utilizzando un'identità hardcoded creata per impersonare Claude Code di Anthropic. Questo suggerisce che gli attaccanti stiano sfruttando la fiducia degli sviluppatori verso gli strumenti di coding basati su intelligenza artificiale per mascherare le modifiche malevole nei repository.

In parallelo, il malware implementa un vettore di propagazione npm che colpisce l'ambiente locale dello sviluppatore. Il codice modifica i pacchetti npm presenti nella macchina vittima, aggiungendo un hook postinstall nel file package.json per invocare automaticamente il payload malevolo ad ogni installazione. È probabile che questa doppia propagazione Python/npm miri a massimizzare la persistenza del malware all'interno degli ambienti di sviluppo.

Dinamiche di compromissione e contesto Team PCP

L'account GitHub del progetto Lightning-AI mostra segnali chiari di compromissione. Un membro della community ha inizialmente segnalato l'anomalia in un issue su GitHub, sebbene le fonti riportino numeri incoerenti per questa segnalazione iniziale (issue #21691 secondo una fonte, #21689 secondo altre). Dopo che Socket ha aperto un successivo issue di avviso, questo è stato chiuso in soli un minuto dall'account pl-ghost, che ha postato il meme "SILENCE DEVELOPER". I manutentori del progetto hanno tuttavia dichiarato: "we are aware of the issue and are actively investigating."

L'attacco è considerato un'estensione della campagna "Mini Shai-Hulud" ed è attribuito a Team PCP. Questo gruppo aveva già compromesso LiteLLM il 24 marzo 2026 e Telnyx il 27 marzo 2026. Un attaccante ha inoltre pubblicato un link Tor onion nel thread di GitHub rivendicando il coinvolgimento di LAPSUS$ come partner, un'attribuzione che Socket non ha ancora verificato in modo indipendente. In risposta all'incidente, gli amministratori di PyPI hanno messo in quarantena il progetto.

Domande frequenti

Quali versioni del pacchetto lightning sono sicure?
La versione 2.6.1, pubblicata il 30 gennaio 2026, è considerata pulita e l'ultima baseline sicura. Le versioni 2.6.2 e 2.6.3 del 30 aprile 2026 sono malevole e il pacchetto è ora in quarantena su PyPI.
Come avviene l'infezione del sistema sviluppatore?
L'infezione avviene automaticamente all'importazione del modulo lightning. Lo script Python scarica il runtime Bun che esegue un payload JavaScript di 11 MB per rubare token e inserire un hook postinstall nei pacchetti npm locali.
Perché i commit avvelenati sono difficili da individuare a prima vista?
I commit iniettati dal worm sono firmati con un'identità progettata per impersonare Claude Code di Anthropic, sfruttando la fiducia verso gli strumenti di intelligenza artificiale per mascherare le modifiche malevole.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

Link utili

Apri l'articolo su DeafNews