30 Nisan 2026 — Shai-Hulud/TeamPCP supply chain kampanyası npm ekosisteminin ötesine geçerek
PyPI'ye taşındı. Hedef: 31.000+ GitHub yıldızı, yüz binlerce günlük indirme ile PyTorch ekosisteminin vazgeçilmez çerçevesi
PyTorch Lightning. Sürüm 2.6.2 ve 2.6.3 zararlı kod içeriyor — 2.6.1 temiz son sürüm.
Saldırı mekanizması: Saldırganlar (
pl-ghost hesabı) Lightning-AI GitHub hesabını ele geçirdi. Zararlı kod
__init__.py'ye yerleştirildi — paketi import etmek yeterli, kurulum hook'u bile gerekmez.
start.py arka planda Bun JavaScript runtime'ı indirir ve 11MB obfuscated
router_runtime.js payload'unu çalıştırır.
Hedef credential'lar:
- GitHub, npm ve Kubernetes token'ları
- AWS, GCP, Azure kimlik bilgileri
- SSH anahtarları ve shell geçmişi
- Kripto para cüzdanları
- CI/CD ortam değişkenleri
Solucan özelliği: Ele geçirilen GitHub token'larıyla kurbanın kendi depolarına ve yayımladığı npm paketlerine otomatik yayılır. Commit mesajları:
EveryBoiWeBuildIsAWormyBoi. Aynı anda
intercom-client@7.0.4 npm paketi de ele geçirildi (pyannote-audio geçişli bağımlılık). Socket 18 dakikada tespit etti; Lightning.ai 42 dakikada müdahale etti.