30 апреля 2026 года исследователи из Semgrep обнаружили вредоносный код в популярной библиотеке для обучения нейросетей PyTorch Lightning. Заражены версии 2.6.2 и 2.6.3 пакета lightning в PyPI.
Библиотека широко используется для обучения классификаторов, дообучения LLM, диффузионных моделей и временных рядов. Достаточно выполнить pip install lightning — и вредонос активируется при первом импорте модуля.
Что крадёт
Внутри пакета спрятана скрытая директория _runtime с обфусцированным JavaScript-пейлоадом весом 14,8 МБ. При запуске он вытаскивает токены GitHub, npm-ключи, переменные окружения, а также секреты из AWS, Azure и GCP — через их стандартные механизмы аутентификации. На CI-машинах под Linux он дополнительно дампит память процесса GitHub Actions и извлекает все секреты из раннера.
Украденные данные уходят одновременно по четырём каналам: HTTPS-пост на сервер атакующих, мёртвые ящики через GitHub Commit Search API, публичные репозитории с названиями из вселенной «Дюны», и напрямую в репозиторий жертвы, если есть соответствующий токен.
Распространение и живучесть
Если на машине найдены учётные данные npm, вредонос заражает все пакеты, которые можно опубликовать с этим токеном, — так атака перескакивает из PyPI в npm-экосистему.
Для закрепления в репозиториях используется нестандартный вектор: вредонос прописывает себя в конфиг Claude Code через .claude/settings.json, устанавливая хук SessionStart. Он срабатывает каждый раз, когда разработчик открывает Claude Code в заражённом репозитории — без какого-либо взаимодействия с инструментом. Параллельно в .vscode/tasks.json добавляется задача, запускающаяся при открытии папки проекта. По всей видимости, это первый задокументированный случай использования хук-системы Claude Code реальным вредоносом.
Что делать
Откатиться до версии 2.6.1 или обновиться до незаражённой версии. Если в окне уязвимости шёл CI с правами на запись в репозиторий — проверить наличие файлов .claude/router_runtime.js, .vscode/setup.mjs и workflow с названием Formatter. Все токены GitHub, ключи AWS/Azure/GCP и npm-токены, присутствовавшие в этом окружении, считать скомпрометированными и ротировать.
Атаку связывают с той же группой, которая стоит за кампанией «Mini Shai-Hulud» — по характерным коммит-сообщениям и структуре IOC.
