Das Python-Paket PyTorch Lightning wurde zum Ziel einer sophistizierten Supply-Chain-Attacke. Am 30. April offenbarte der Maintainer, dass Version 2.6.3 des Frameworks eine versteckte Ausführungskette enthielt. Diese lädt automatisch beim Import einen JavaScript-Payload herunter und führt ihn im Hintergrund aus – vollkommen unbemerkt vom Nutzer.
Die Angreifer nutzten einen zweistufigen Ansatz: Zuerst wird die JavaScript-Runtime “Bun v1.3.13” von GitHub heruntergeladen, dann folgt die Ausführung eines 11,4 Megabyte großen, stark verschleierte JavaScript-Payloads namens “router_runtime.js”. Microsoft Threat Intelligence erkannte die Malware unter dem Namen “ShaiWorm” und stoppte die Ausführung in betroffenen Kundenumgebungen.
Die Gefährlichkeit dieser Malware liegt in ihrer Breite: ShaiWorm zielt auf .env-Dateien, API-Keys, GitHub-Tokens und Browserdaten ab – speziell Chrome, Firefox und Brave. Besonders besorgniserregend ist die Fähigkeit, mit Cloud-APIs zu interagieren: Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) werden angegriffen. Zusätzlich unterstützt die Malware beliebige Systembefehlsausführung.
Laut Microsoft-Telemetrie war die Betroffenheit begrenzt – nur “eine kleine Anzahl von Geräten” wurden kompromittiert. Lightning AI empfiehlt jedoch allen Nutzern, die Version 2.6.3 importiert haben, sofort alle Secrets, Keys und Tokens zu rotieren. Das Paket wurde auf PyPI auf die sichere Version 2.6.1 zurückgesetzt.
Die zentrale Frage bleibt offen: Wie wurde die Build- und Release-Pipeline durchbrochen? Lightning AI untersucht derzeit den Vorfall. Alle anderen neueren Releases werden auf ähnliche Payloads überprüft. Nutzer erhalten Updates über alle verfügbaren Kanäle.
Dieser Vorfall unterstreicht die Verwundbarkeit des Open-Source-Ökosystems. Entwickler sollten ihre Abhängigkeiten kritisch überprüfen und regelmäßig auditieren – besonders bei Machine-Learning-Frameworks, die Zugriff auf sensitive Umgebungsvariablen und Credentials haben.