B
今週中
Pythonのライブラリである「PyTorch Lightning」のバージョン2.6.2および2.6.3において、認証情報を盗み出すサプライチェーン攻撃
📌 一言でいうと
Pythonのライブラリである「PyTorch Lightning」のバージョン2.6.2および2.6.3において、認証情報を盗み出すサプライチェーン攻撃が確認されました。この攻撃は、パッケージのインポート時に自動的に難読化されたJavaScriptペイロードが実行される仕組みとなっており、ユーザーの追加操作なしに動作します。本件はSAP関連のnpmパッケージを標的とした「Mini Shai-Hulud」キャンペーンの一環であると分析されています。
🏢影響範囲
PyTorch Lightningを利用しているAI/ML開発者、データサイエンティスト、およびそれらを組み込んだソフトウェアを運用する組織。
✅該当時の対応
影響を受けるバージョン(2.6.2, 2.6.3)の使用を直ちに停止し、安全なバージョンへのダウングレードまたはアップデートを行ってください。また、環境変数や設定ファイルに保存されている認証情報の漏洩を想定し、パスワードやAPIキーのローテーションを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PyTorch Lightning サプライチェーン攻撃への対応について
お疲れさまです。PyTorch Lightningにおける悪意のあるパッケージの配布に関する情報共有です。
■ 概要
PyPIで公開されたPyTorch Lightningのバージョン2.6.2および2.6.3に、認証情報を窃取するためのマルウェアが仕込まれていました。インポート時に自動的に実行されるため、インストールしただけで被害に遭う可能性があります。
■ 影響範囲
- 対象製品: PyTorch Lightning (Python package)
- 対象バージョン: 2.6.2, 2.6.3
■ 対応手順
1. 開発環境および本番環境において、インストールされているlightningのバージョンを確認してください。
2. 対象バージョンが検出された場合は、直ちに削除し、安全なバージョンへ変更してください。
3. 漏洩の可能性がある認証情報(APIキー、DBパスワード等)の変更を検討してください。
■ 参考情報
- Aikido Security, OX Security, Socket, StepSecurity のレポート
対応優先度: 高
対応期限: 本日中
お疲れさまです。PyTorch Lightningにおける悪意のあるパッケージの配布に関する情報共有です。
■ 概要
PyPIで公開されたPyTorch Lightningのバージョン2.6.2および2.6.3に、認証情報を窃取するためのマルウェアが仕込まれていました。インポート時に自動的に実行されるため、インストールしただけで被害に遭う可能性があります。
■ 影響範囲
- 対象製品: PyTorch Lightning (Python package)
- 対象バージョン: 2.6.2, 2.6.3
■ 対応手順
1. 開発環境および本番環境において、インストールされているlightningのバージョンを確認してください。
2. 対象バージョンが検出された場合は、直ちに削除し、安全なバージョンへ変更してください。
3. 漏洩の可能性がある認証情報(APIキー、DBパスワード等)の変更を検討してください。
■ 参考情報
- Aikido Security, OX Security, Socket, StepSecurity のレポート
対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on PyTorch Lightning
Dear Team,
We are sharing critical information regarding a supply chain attack affecting the PyTorch Lightning Python package.
■ Overview
Malicious versions 2.6.2 and 2.6.3 of the 'lightning' package were published on PyPI. These versions contain a hidden downloader and an obfuscated JavaScript payload designed to steal credentials. The payload executes automatically upon importing the module.
■ Scope
- Product: PyTorch Lightning
- Affected Versions: 2.6.2, 2.6.3
■ Mitigation Steps
1. Audit all development and production environments for the presence of lightning v2.6.2 or v2.6.3.
2. Immediately uninstall the affected versions and revert to a known safe version.
3. Rotate any credentials, API keys, or secrets that may have been exposed in environments where these versions were installed.
■ Reference
- Reports from Aikido Security, OX Security, Socket, and StepSecurity
Priority: High
Deadline: Immediate
Dear Team,
We are sharing critical information regarding a supply chain attack affecting the PyTorch Lightning Python package.
■ Overview
Malicious versions 2.6.2 and 2.6.3 of the 'lightning' package were published on PyPI. These versions contain a hidden downloader and an obfuscated JavaScript payload designed to steal credentials. The payload executes automatically upon importing the module.
■ Scope
- Product: PyTorch Lightning
- Affected Versions: 2.6.2, 2.6.3
■ Mitigation Steps
1. Audit all development and production environments for the presence of lightning v2.6.2 or v2.6.3.
2. Immediately uninstall the affected versions and revert to a known safe version.
3. Rotate any credentials, API keys, or secrets that may have been exposed in environments where these versions were installed.
■ Reference
- Reports from Aikido Security, OX Security, Socket, and StepSecurity
Priority: High
Deadline: Immediate