PyTorch Lightning にサプライチェーン攻撃:GitHub アカウント侵害の可能性

Popular Python Package lightning Hacked in Supply Chain Attack

2026/04/30 CyberSecurityNews — AI 製品のトレーニング/デプロイ/提供に使用される人気の PyPI パッケージ Lightning が、現在進行中のサプライチェーン攻撃により侵害された。具体的には、PyTorch Lightning フレームワークにおけるインポート時に、認証情報窃取マルウェアが自動実行されるという問題が発生し、GitHub メンテナ・アカウントの侵害も確認されている。

Socket のリサーチ・チームによると、2026年4月30日の情報公開から 18分後に、バージョン 2.6.2/2.6.3 が悪意のものとして警告された。その一方で、2026年1月30日に公開されたバージョン 2.6.1 は依然として安全であり、これが安全性のベースラインと見なされている。PyPI 上において、日次で数十万ダウンロード/月間で数百万インストールを持つ PyTorch Lightning は、Python ベースの AI/ML 学習ワークフローの中核コンポーネントである。 

Package compromised

この攻撃は、開発者マシン/CI/CD パイプライン/クラウド・ビルド環境を標的としており、侵害バージョンをインストール/インポートした全システムがリスクにさらされる。

隠蔽されたマルウェア実行チェーン

Socket の分析により、悪意のパッケージ内に埋め込まれた _runtime ディレクトリが確認された。このディレクトリには、モジュール・インポート時に自動的に起動する多段階の実行チェーンが含まれており、追加のユーザー操作は不要である。確認された構成要素は以下の通りである:

  • start.py:GitHub から Bun JavaScript ランタイム をダウンロード/実行する。
  • router_runtime.js:11 MB の高度に難読化された JavaScript ペイロード であり、process および env への参照 703 件以上/トークンおよび認証情報関連参照 463 件以上/リポジトリ参照 336 件を含む。
  • デーモン・スレッドの実行:マルウェアは出力を抑制した状態でサイレントに動作し、検知が極めて困難である。
  • 認証情報窃取:GitHub トークン/NPM トークン/クラウド認証情報 (AWS/GCP/Azure)/環境変数などのシークレットを標的とする。
  • GitHub API の悪用:窃取したトークンを悪用し、エンコードされたデータを攻撃者が管理するリポジトリへコミットする。
  • npm パッケージへの感染:開発者の npm パッケージ tarball を改ざんし、持続性を拡張する。

難読化された “router_runtime.js” ペイロード は、Shai-Hulud 攻撃キャンペーンと顕著な技術的共通性を持ち、認証情報標的パターン/トークン窃取ロジック/難読化手法が一致する。

さらに、Team PCP による オープンソース・サプライチェーン攻撃の拡大と一致している。このグループは、LiteLLM (2026年3月24日)/Telnyx (2026年3月27日)/Xinference を短期間で連続侵害している。 

インシデント対応期間中に攻撃者は、Lightning-AI の GitHub issue スレッド に Tor オニオン・リンクを投稿し、Team PCP ブランド・サイト への誘導を試行した。このサイトには、LAPSUS$ が “良きパートナー” として関与したと主張する、PGP 署名付きメッセージが掲載されていた。 

この主張について、Socket は独立には検証していない。同社は、Team PCP ブランドが実際の犯行主体であるか/便乗的関連付けであるか/意図的な false-flag であるかを調査中である。

GitHub メンテナ・アカウント侵害の可能性

Lightning-AI の GitHub リポジトリ issue #21689 “Possible supply chain attack on version 2.6.3” において、コミュニティ・メンバーから報告が投稿された。 

その後に Socket が、pytorch-Lightning リポジトリに警告を投稿すると、pl-ghost アカウントにより 1 分以内に issue がクローズされ、”SILENCE DEVELOPER” というミームが投稿された。それが示唆するのは、プロジェクトの GitHub アカウントが乗っ取られた可能性である。

緩和策

セキュリティ・チームにとって必要なことは、Lightning バージョン 2.6.2/2.6.3 をインストールまたはインポートした環境を完全に侵害されたものとして見なし、直ちに対応することだ:

  • 影響システムからバージョン 2.6.2/2.6.3 を削除する。
  • バージョン 2.6.1 へダウングレードする。または、メンテナによる公式確認を待つ。
  • GitHub トークン/NPM トークン/クラウド・アクセス・キー (AWS/GCP/Azure)、環境変数内のシークレットなどの、すべての認証情報をローテーションする。
  • GitHub リポジトリを監査し、不正コミット/不審エンコードデータの有無を確認する。
  • CI/CD パイプラインログ/開発者ワークステーション/パッケージがインポートされた ビルド・システム を精査する。

Socket は技術分析を継続しており、侵害指標 (IOC) および攻撃元特定を含む、詳細な調査結果を公開する予定である。

訳者後書:広く利用されている PyPI パッケージの lightning が、悪意の第三者により侵害されました。攻撃者はパッケージの管理権限を奪取し、ライブラリを import するだけで自動的にマルウェアが動くように細工しました。具体的には、内部に隠された JavaScript ペイロードが実行され、GitHub やクラウドサービスの認証情報を盗み取る仕組みになっています。メンテナのアカウント自体が乗っ取られた可能性も指摘されており、正規のアップデートを通じて悪意のコードが配布されるという、きわめて深刻な状況に陥っています。ご利用のチームは、ご注意ください。よろしければ、PyTorch での検索結果も、ご参照ください。