Une nouvelle livraison du problème persistant des chaînes d'approvisionnement de logiciels vient de frapper l'écosystème Python : les versions 2.6.2 et 2.6.3 du paquet Lightning, publié le 30 avril 2026, ont été publiées avec un code malveillant conçu pour voler les identifiants et se propager des environnements de développement aux dépôts à distance. Le projet a été mis en quarantaine dans l'index officiel des colis, mais le vecteur et la sophistication de l'attaque exigent une intervention rapide et coordonnée des équipes de développement, des gestionnaires de l'infrastructure et des responsables de la sécurité.
D'un point de vue technique, le paquet engagé a caché un répertoire appelé _ Exécution contenant un téléchargement et une charge utile JavaScript osfuscada. La chaîne d'exécution est automatiquement activée lors de l'importation du module, sans actions supplémentaires du développeur. Un script Python appelé Démarrer.py Téléchargez le Bun runtime et lancez une grande charge utile obfuscate ("router _ runtime.js") dont l'objectif principal est la collection de masse d'identifications. Parmi les identifiants demandés, les jetons de GitHub sont validés par rapport au paramètre API avant de les utiliser pour injecter une charge utile de comportement ver dans plusieurs branches de dépôts avec des permis d'écriture, créer ou écraser des fichiers et utiliser une identité codée pour apparaître comme une autre organisation. En retour, malware implémente un vecteur de propagation npm qui modifie les paquets locaux - en modifiant le post-installation dans le paquet. json, augmentant les versions de patch et retraçant le .tgz - de sorte qu'un développeur qui publie non vérifié puisse distribuer le malware à la chaîne d'approvisionnement npm.
Les conséquences sont graves: une attaque qui combine l'exécution automatique lors de l'importation, les capacités de vol et de remplacement de masse peuvent compromettre les environnements locaux, les pipelines CI / CD et les utilisateurs de téléchargement. Si un jeton de grande capacité est volé, l'attaquant non seulement extrait des données, mais peut entrer le code malveillant directement dans plusieurs dépôts, en grimpant les dégâts de manière exponentielle. De plus, le mélange de vecteurs Python et npm montre comment les attaquants cherchent des points de support dans le tissu multicanal des dépendances modernes.
Mesures immédiates recommandées : bloquer et supprimer les versions 2.6.2 et 2.6.3 de tous les systèmes concernés et, si nécessaire, de dégrader la dernière version propre connue (2.6.1). Rotation et révocation immédiate de tous les jetons et titres d'identité qui ont pu résider sur les machines compromises, y compris les jetons personnels et de service, les clés SSH et les secrets CI. Examiner l'historique des commits dans les dépôts qui utilisent ces jetons à la recherche de commons et de fichiers inattendus (faux auteurs, nouveaux fichiers ou écrasement sans préavis) et restaurer de sauvegarde ou bon état connu si la manipulation est détectée. Pour la détection locale, recherchez des artefacts comme des répertoires cachés _ Exécution, scripts Démarrer.py, présence de Bun d'exécution et de fichiers de charge utile obusqués (par exemple routeur _ runtime.js) et modifications récentes du paquet. json avec crochets postinstall; supprimer les paquets touchés et les réinstaller des sources vérifiées est essentiel.
Mesures préventives à moyen et à long terme : mettre en œuvre des politiques de privilèges minimums dans les jetons (en utilisant des jetons de dépôt ou des jetons avec de fines permissions plutôt que des jetons à portée mondiale), permettre l'authentification multifactorielle et protéger les comptes de maintenance des paquets avec 2FA obligatoire, utiliser des fichiers de verrouillage vérifiés et des hachages pour les dépendances (chief de puce, fichiers de poésie / pipenv), examiner et restreindre la capacité d'édition dans IC, et adopter des pratiques recommandées par la communauté pour la sécurité de la chaîne d'approvisionnement telles que les guides SLSA et OpenF. Automatiser la numérisation des secrets dans les dépôts et les artefacts, vérifier l'intégrité des paquets téléchargés et limiter l'exposition des références dans les environnements locaux réduira la fenêtre d'exploitation dans les incidents futurs.
Il est important de suivre les sources officielles et les mises à jour des responsables aussi longtemps que la recherche se poursuit : le projet concerné partage l'information publique dans son dépôt et dans PyPI, et les agences de sécurité et les signatures publient des indicateurs techniques détaillés d'engagement et d'analyse qui devraient être suivis pour une réponse efficace. Voir la page du projet dans PyPI https: / / pypi.org / projet / éclairage / et le dépôt officiel à GitHub https: / / github.com / Lightning-AI / éclairage pour les avis et les mises à jour, et examiner les recommandations générales de sécurité de la chaîne d'approvisionnement dans des initiatives comme OpenSSF https: / / openssf.org /.
En bref: la leçon est répétée - vérifications périodiques, moins de privilège, rotation des pouvoirs et validation des artefacts sont essentielles - et la détection rapide et la révocation des ressources engagées est la différence entre un incident confiné et un écart important dans plusieurs projets et écosystèmes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...