Ein legitimes und weit verbreitetes Paket im Python-Ökosystem, PyTorch Lightning, wurde in einer schädlichen Veröffentlichung in PyPI manipuliert und lieferte ein Anmelde-Ladegerät für Browser, Umweltdateien und Cloud-Dienste. Der schädliche Code wurde beim Import der Buchhandlung aktiviert, hob einen Hintergrundprozess, der eine JavaScript (Bun v1.3.13) Ausführungsumgebung von GitHub heruntergeladen und eine große opfuscated Datei - identifiziert von Lieferanten als Last namens "ShaiWorm" - mit geheimen Diebstahl und Remote-Befehl Ausführung Fähigkeiten.
Projektleiter entdeckten den Vorfall und veröffentlichten einen technischen Hinweis in ihrem Projektarchiv; Microsoft Threat Intelligence berichtete auch, dass Defender die Routine in einigen Umgebungen und alarmierten Entwicklern blockierte. Die Kampagne zielt darauf ab, .env, Token von GitHub, AWS / Azure / GCP Schlüssel / API und Daten in Chrome, Firefox und Brave gespeichert, zusätzlich in der Lage, mit APIs in der Cloud zu interagieren, um Zugriffe zu extrapolieren. Für technische Details und die Teamantwort ist die öffentliche Bekanntmachung bei GitHub verfügbar: https: / / github.com / Lightning-AI / pytorch-lighting / Ausgaben / 21689 und der Microsoft-Bericht: https: / / x.com / MsftSecIntel / status / 2050414202259472521.
Dass eine solche weit verbreitete Einheit als Vektor verwendet wurde, erinnert daran, dass die Software-Versorgungskette eine der zerbrechlichsten Verbindungen in der Sicherheit ist. PyTorch Lightning sammelt Millionen von monatlichen Downloads, so kann das Ausstellungsfenster für einzelne Organisationen und Entwickler breit sein, wenn nicht schnell gehandelt wird. In unmittelbarer Reaktion kehrte das Paket in eine bisher als sichere Version von PyPI zurück, aber Unsicherheit, wie der Build / Release-Prozess beeinträchtigt wurde, erfordert, dass die Kampagne Umgebungen mit automatischen Importen oder CI-Umgebungen erreicht haben, die uneingeschränkte Abhängigkeiten installieren.
Wenn Sie die kompromittierte Version (2.6.3 nach der Mitteilung) importieren oder in dieser Zeit "Importbeleuchtung" ausgeführt haben, Sie müssen das Engagement der Geheimnisse annehmen. Die erste notwendige Aktion ist die Rotation der Anmeldeinformationen: es rezitiert und ersetzt GitHub-Token, betroffene API-Schlüssel und Cloud-Anmeldeinformationen und ändert Passwörter und Geheimnisse, die in .env-Dateien, die von Ihren Projekten verwendet werden. Es ist auch angebracht, den Zugriff auf Cloud-Konten zu prüfen, um anormale Verwendung zu erkennen und Maßnahmen wie z.B. die Schlüsseldrehung und die Überprüfung von Authentifizierungsprotokollen anzuwenden.
In den Systemen, in denen der Code ausgeführt werden konnte, suchen Sie nach Kompromiss-Indikatoren: unerwartete "Bun"-Prozesse, temporäre Dateien mit Router _ Laufzeit. js-ähnliche Namen, Verbindungen zu Repositorien oder externen Artefakten und jede Remote-Befehlsausführung, die von Ihrem EDR oder Protokoll aufgezeichnet wird. Unit-Scanning-Tools (z.B. pip-audit) und Endpoint-Detektionslösungen können dazu beitragen, infizierte Einrichtungen zu identifizieren; die Statistikseite des Pakets zeigt seine breite Verbreitung und dient der Priorisierung von Bewertungen: https: / / pypistats.org / Pakete / pytorch-lighting.
Um zukünftiges Risiko zu reduzieren, enthält es Kontrollen in Ihrem Entwicklungs-Lebenszyklus: Es verwendet virtuelle Umgebungen oder Container mit Einheiten durch Hash oder Version gesetzt und überprüft Signaturen, wenn verfügbar; es ermöglicht automatische Einheiten-Rezensionen in Ihren Repositories (Dependabot oder andere Tools) und wendet das Prinzip des kleinen Privilegs in CI / CD-Berechtigungen und API-Berechtigungen an. Darüber hinaus sollten Sie SBOMs (Software-Erfinder) für Ihre Gebäude erstellen und Integritätsprüfungen anwenden, bevor Sie Geräte in der Produktion einsetzen.
In der Cloud-Infrastruktur übernehmen geheime Manager (AWS Secrets Manager, Azure Key Vault, Google Secret Manager) und ephemerale Anmeldeinformationen reduziert den Einfluss eines zeitgemäßen Raubs. Für Organisationen mit Daten- und ML-Ausrüstung, begrenzt es den Zugriff auf Schlüssel aus Notebooks und lokalen Bereitstellungen, vermeidet das Halten von Geheimnissen in .env-Dateien in Repositories oder in unkontrollierten Umgebungen, und erfordert die Authentifizierung mit kurzfristigen Token oder Rollen, die Anmeldeinformationen statt permanente Schlüssel annehmen.
Schließlich ist die Lektion klar: Lieferketteneinheiten sind kritische Ziele und sein Engagement erfordert schnelle Reaktion, die Rotation von Geheimnissen und die Überprüfung von CI / CD-Prozessen und Veröffentlichung. Achten Sie auf die Warnungen des Bedieners und die Sicherheitsaktualisierung der Ökosysteme; die Community- und Sicherheitstools müssen zusammenarbeiten, um Belichtungsfenster zu reduzieren und Manipulationen zu erkennen, bevor sie sich verbreiten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...