Eine neue Lieferung des hartnäckigen Problems der Software-Versorgungsketten hat gerade das Python-Ökosystem getroffen: Versionen 2.6.2 und 2.6.3 des Lightning-Pakets, veröffentlicht am 30. April 2026, wurden mit schädlichem Code veröffentlicht, um Anmeldeinformationen zu stehlen und von Entwicklungsumgebungen zu entfernten Repositorien zu verbreiten. Das Projekt wurde im offiziellen Paketindex vervierfacht, aber der Vektor und die Raffinesse des Angriffs erfordern eine schnelle und koordinierte Reaktion von Entwicklungsteams, Infrastrukturbetreibern und Sicherheitsbeamten.
Aus technischer Sicht versteckte das engagierte Paket ein Verzeichnis namens _ Laufzeit mit einem Download und einem Payload JavaScript osfuscada. Die Ausführungskette wird beim Import des Moduls automatisch aktiviert, ohne dass zusätzliche Aktionen vom Entwickler durchgeführt werden. Ein Python Skript genannt Anfang. Download der Laufzeit Bun und führen Sie eine große obfuscate Nutzlast ("router _ runtime.js"), deren Hauptziel die Massensammlung von Anmeldeinformationen ist. Unter den angeforderten Anmeldeinformationen werden die Token von GitHub gegen den API-Endpunkt validiert, bevor sie eine Wurmverhalten-Payload in mehrere Filialen von Repositories mit Schreibgenehmigungen injizieren, Dateien erstellen oder überschreiben und eine codierte Identität verwenden, um als eine andere Organisation zu erscheinen. Im Gegenzug implementiert Malware einen npm-Verbreitungsvektor, der lokale Pakete ändert - durch Änderung der Post-Installation im Paket. json, erhöhen Patch-Versionen und retracing die .tgz - so dass ein Entwickler, der unified veröffentlicht, kann die Malware an die npm Lieferkette verteilen.
Die Auswirkungen sind ernst: ein Angriff, der automatische Ausführung beim Import, Tokens Diebstahl und Massenersatz Fähigkeiten kombiniert kann sowohl lokale Umgebungen, CI / CD-Pipeline und Download-Nutzer. Wenn ein Groß-Permissions-Token gestohlen wird, extrahiert der Angreifer nicht nur Daten, sondern kann schädlichen Code direkt in mehrere Repositories eingeben, klettern den Schaden exponentiell. Darüber hinaus zeigt die Mischung aus Python- und npm-Vektoren, wie Angreifer Stützpunkte im Mehrkanalgewebe moderner Abhängigkeiten suchen.
Empfohlene Sofortmaßnahmen: die Versionen 2.6.2 und 2.6.3 blockieren und entfernen alle betroffenen Systeme und erforderlichenfalls die neuste bekannte Reinversion (2.6.1) abbauen. Rotieren und widerrufen sofort alle Token und Anmeldeinformationen, die auf den kompromittierten Maschinen, einschließlich persönliche und Service-Token, SSH-Schlüssel und CI-Geheimnisse, wohnen konnten. Überprüfen Sie die Geschichte der Commits in Repositories, die diese Token auf der Suche nach Commons und unerwarteten Dateien (false Authorship, neue Dateien oder Überschreiben ohne Ankündigung) und Wiederherstellen von Backup oder guten bekannten Status, wenn die Handhabung erkannt wird. Für lokale Erkennung, suchen Sie nach Artefakten wie versteckte Verzeichnisse Typ _ Laufzeit, Skripte Anfang., Anwesenheit von Laufzeit Bun und veraltete Payload-Dateien (z.B. Router _ runtime.js) und jüngste Änderungen an Paket. json mit postinstall Haken; entfernen Sie betroffene Pakete und reinstallieren Sie sie aus verifizierten Quellen ist unerlässlich.
Mittelfristige und langfristige präventive Maßnahmen: Umsetzung von Mindestberechtigungsrichtlinien in Tokens (mit Repository Tokens oder Tokens mit feinen Berechtigungen statt Tokens mit globaler Reichweite), ermöglichen Multi-Faktor-Authentifizierung und schützen die Wartungskonten von Paketen mit obligatorischen 2FA, verwenden Sie verifizierte Lockfiles und Hashes für Abhängigkeiten (Pip Hash, Lockfiles von Lyrik / Pipenv), überprüfen und beschränken Sie die Veröffentlichungs von CImen SL Automatisieren Sie das Scannen von Geheimnissen in Repositorien und Artefakte, überprüfen Sie die Integrität der heruntergeladenen Pakete und begrenzen Sie die Exposition von Anmeldeinformationen in lokalen Umgebungen wird das Betriebssystem Fenster in zukünftigen Ereignissen reduzieren.
Es ist wichtig, die offiziellen Quellen und Aktualisierungen der Betreuer zu verfolgen, solange die Forschung weitergeht: Das betreffende Projekt teilt öffentliche Informationen in seinem Repository und in PyPI, und Sicherheitsbehörden und Unterschriften veröffentlichen detaillierte technische Indikatoren des Engagements und der Analyse, die für eine effektive Reaktion verfolgt werden sollten. Siehe die Projektseite in PyPI https: / / pypi.org / Projekt / Beleuchtung / und das offizielle Repository in GitHub https: / / github.com / Lightning-AI / Beleuchtung für Mitteilungen und Aktualisierungen und Überprüfung der allgemeinen Sicherheitsempfehlungen der Lieferkette in Initiativen wie OpenSSF https: / / opensf.org /.
Kurz gesagt: die Lektion wird wiederholt - regelmäßige Audits, zumindest Privilegien, Verdrehung von Anmeldeinformationen und Validierung von Artefakten Wesentlich sind - und der rasche Auf- und Rückruf von engagierten Ressourcen ist der Unterschied zwischen einem einbehaltenen Vorfall und einer umfangreichen Lücke in mehreren Projekten und Ökosystemen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...