C
月内に
PyPI上のPyTorch Lightningライブラリに、悪意のあるバージョン2.6.3
📌 一言でいうと
PyPI上のPyTorch Lightningライブラリに、悪意のあるバージョン2.6.3が公開されました。このパッケージをインポートすると、バックグラウンドでJavaScriptランタイム(Bun)をダウンロードし、難読化されたペイロードを実行して認証情報を盗み出す「ShaiWorm」マルウェアが動作します。現在はPyPIから削除されていますが、AI開発環境におけるサプライチェーン攻撃の危険性が改めて浮き彫りとなりました。
🔍該当判定
- Pythonを用いてAIやディープラーニングの開発を行っている
- ライブラリとして『PyTorch Lightning』をインストールして利用している
- PyTorch Lightningのバージョンが『2.6.3』になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. PyTorch Lightningのバージョンを確認し、v2.6.3がインストールされていないか確認すること。 2. 疑わしいバージョンが検出された場合は、直ちにアンインストールし、認証情報(APIキー、パスワード等)を変更すること。 3. パッケージ管理において、ハッシュ検証やプライベートリポジトリの利用を検討すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PyTorch Lightningにおけるサプライチェーン攻撃(ShaiWorm)への対応について
お疲れさまです。PyTorch Lightningの悪意のあるパッケージに関する情報共有です。
■ 概要
PyPIにてPyTorch Lightning v2.6.3に悪意のあるコードが混入されました。インポート時にBunランタイムを介して「ShaiWorm」という認証情報窃取マルウェアが実行される仕組みとなっており、開発者の資格情報が盗まれるリスクがあります。
■ 影響範囲
- 対象製品: PyTorch Lightning
- 対象バージョン: v2.6.3
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、PyTorch Lightning v2.6.3が導入されていないか確認してください。
2. 当該バージョンが検出された端末では、即座にパッケージを削除し、環境変数や設定ファイルに保存されていた認証情報をリセットしてください。
3. 依存関係の固定(requirements.txtやpoetry.lock等)を徹底し、意図しないバージョンアップを防いでください。
■ 参考情報
- Microsoft (ShaiWorm分析)
- PyPI公式リポジトリ
対応優先度: 高
対応期限: 本日中
お疲れさまです。PyTorch Lightningの悪意のあるパッケージに関する情報共有です。
■ 概要
PyPIにてPyTorch Lightning v2.6.3に悪意のあるコードが混入されました。インポート時にBunランタイムを介して「ShaiWorm」という認証情報窃取マルウェアが実行される仕組みとなっており、開発者の資格情報が盗まれるリスクがあります。
■ 影響範囲
- 対象製品: PyTorch Lightning
- 対象バージョン: v2.6.3
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、PyTorch Lightning v2.6.3が導入されていないか確認してください。
2. 当該バージョンが検出された端末では、即座にパッケージを削除し、環境変数や設定ファイルに保存されていた認証情報をリセットしてください。
3. 依存関係の固定(requirements.txtやpoetry.lock等)を徹底し、意図しないバージョンアップを防いでください。
■ 参考情報
- Microsoft (ShaiWorm分析)
- PyPI公式リポジトリ
対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on PyTorch Lightning (ShaiWorm)
Dear Team,
This is a technical alert regarding a malicious update found in the PyTorch Lightning library.
■ Overview
Version 2.6.3 of PyTorch Lightning was uploaded to PyPI containing malicious code. Upon import, it downloads the Bun JavaScript runtime to execute 'ShaiWorm', a credential stealer designed to extract sensitive information from the host system.
■ Scope
- Product: PyTorch Lightning
- Affected Version: v2.6.3
■ Mitigation Steps
1. Audit all development environments and CI/CD pipelines to ensure PyTorch Lightning v2.6.3 is not installed.
2. If the affected version is found, immediately uninstall the package and rotate all credentials (API keys, passwords) stored on that system.
3. Enforce strict dependency pinning using lock files to prevent automatic updates to malicious versions.
■ Reference
- Microsoft Threat Intelligence (ShaiWorm)
- PyPI Repository
Priority: High
Deadline: Immediate
Dear Team,
This is a technical alert regarding a malicious update found in the PyTorch Lightning library.
■ Overview
Version 2.6.3 of PyTorch Lightning was uploaded to PyPI containing malicious code. Upon import, it downloads the Bun JavaScript runtime to execute 'ShaiWorm', a credential stealer designed to extract sensitive information from the host system.
■ Scope
- Product: PyTorch Lightning
- Affected Version: v2.6.3
■ Mitigation Steps
1. Audit all development environments and CI/CD pipelines to ensure PyTorch Lightning v2.6.3 is not installed.
2. If the affected version is found, immediately uninstall the package and rotate all credentials (API keys, passwords) stored on that system.
3. Enforce strict dependency pinning using lock files to prevent automatic updates to malicious versions.
■ Reference
- Microsoft Threat Intelligence (ShaiWorm)
- PyPI Repository
Priority: High
Deadline: Immediate