B
今週中
PyPIで公開されたPyTorch Lightningパッケージの悪意あるバージョン(v2.6.3)
📌 一言でいうと
PyPIで公開されたPyTorch Lightningパッケージの悪意あるバージョン(v2.6.3)が発見されました。このパッケージをインポートすると、バックグラウンドでJavaScriptランタイム(Bun)と難読化されたペイロードがダウンロードされ、ブラウザやクラウドサービスの認証情報を盗み出します。Microsoft Threat Intelligenceが検知し、メンテナーに通知されました。
🏢影響範囲
AI/機械学習モデルの開発に従事し、PyTorch Lightningを利用している開発者および組織
✅該当時の対応
PyTorch Lightning v2.6.3の使用を直ちに停止し、安全なバージョンへのダウングレードまたはアップデートを行ってください。また、侵害の疑いがある場合は、環境変数やクラウドサービスの認証情報をリセットすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PyTorch Lightningにおけるサプライチェーン攻撃への対応について
お疲れさまです。PyTorch Lightningの悪意あるパッケージに関する情報共有です。
■ 概要
PyPIで配布されていたPyTorch Lightning v2.6.3に、認証情報を窃取するバックドアが仕込まれていたことが判明しました。インポート時に自動的にJavaScriptランタイム(Bun)と難読化されたペイロード(router_runtime.js)が実行され、ブラウザやクラウドサービスの認証情報が盗み出されます。
■ 影響範囲
- 対象製品: PyTorch Lightning
- 対象バージョン: v2.6.3
■ 対応手順
1. 開発環境および本番環境で PyTorch Lightning v2.6.3 がインストールされていないか確認してください。
2. 該当バージョンが検出された場合は、直ちに削除し、安全なバージョンへ移行してください。
3. 侵害の可能性がある場合、環境変数(ENV)やクラウドアクセスキー等の認証情報を速やかに更新してください。
■ 参考情報
- BleepingComputer / Microsoft Threat Intelligence
対応優先度: 高
対応期限: 直ちに
お疲れさまです。PyTorch Lightningの悪意あるパッケージに関する情報共有です。
■ 概要
PyPIで配布されていたPyTorch Lightning v2.6.3に、認証情報を窃取するバックドアが仕込まれていたことが判明しました。インポート時に自動的にJavaScriptランタイム(Bun)と難読化されたペイロード(router_runtime.js)が実行され、ブラウザやクラウドサービスの認証情報が盗み出されます。
■ 影響範囲
- 対象製品: PyTorch Lightning
- 対象バージョン: v2.6.3
■ 対応手順
1. 開発環境および本番環境で PyTorch Lightning v2.6.3 がインストールされていないか確認してください。
2. 該当バージョンが検出された場合は、直ちに削除し、安全なバージョンへ移行してください。
3. 侵害の可能性がある場合、環境変数(ENV)やクラウドアクセスキー等の認証情報を速やかに更新してください。
■ 参考情報
- BleepingComputer / Microsoft Threat Intelligence
対応優先度: 高
対応期限: 直ちに
Subject: [Security Alert] Supply Chain Attack in PyTorch Lightning Package
Dear Team,
We are sharing critical information regarding a malicious version of the PyTorch Lightning package.
■ Overview
Version 2.6.3 of the PyTorch Lightning package on PyPI has been found to contain a backdoor. Upon import, it silently executes a chain that downloads a JavaScript runtime (Bun v1.3.13) and an obfuscated payload (router_runtime.js) designed to steal credentials from browsers, environment files, and cloud services.
■ Scope
- Product: PyTorch Lightning
- Affected Version: v2.6.3
■ Mitigation Steps
1. Audit all development and production environments for the presence of PyTorch Lightning v2.6.3.
2. Immediately uninstall the affected version and revert to a known safe version.
3. If a compromise is suspected, rotate all environment variables, API keys, and cloud service credentials.
■ Reference
- BleepingComputer / Microsoft Threat Intelligence
Priority: High
Deadline: Immediate
Dear Team,
We are sharing critical information regarding a malicious version of the PyTorch Lightning package.
■ Overview
Version 2.6.3 of the PyTorch Lightning package on PyPI has been found to contain a backdoor. Upon import, it silently executes a chain that downloads a JavaScript runtime (Bun v1.3.13) and an obfuscated payload (router_runtime.js) designed to steal credentials from browsers, environment files, and cloud services.
■ Scope
- Product: PyTorch Lightning
- Affected Version: v2.6.3
■ Mitigation Steps
1. Audit all development and production environments for the presence of PyTorch Lightning v2.6.3.
2. Immediately uninstall the affected version and revert to a known safe version.
3. If a compromise is suspected, rotate all environment variables, API keys, and cloud service credentials.
■ Reference
- BleepingComputer / Microsoft Threat Intelligence
Priority: High
Deadline: Immediate