文章总结： 2026年4月30日发现LightningAI框架PyPI包遭供应链投毒，恶意版本2.6.2和2.6.3在导入时自动执行窃密程序，通过隐匿组件窃取GitHubToken、云服务密钥等敏感凭证，并进行仓库投毒和npm蠕虫传播。攻击手法与Shai-Hulud攻击同源，影响数百万开发者。应急措施包括卸载恶意版本、轮换所有凭据、审计GitHub仓库及检查网络请求。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,应急响应,解决方案

紧急预警：热门AI训练框架 Lightning 的 PyPI 包遭供应链投毒攻击，数百万开发者受影响

原创

mmc mmc

AGI安全

2026年5月1日 08:55 北京

在小说阅读器读本章

去阅读

紧急预警：热门AI训练框架 Lightning 的 PyPI 包遭供应链投毒攻击，数百万开发者受影响

2026 年 4 月 30 日，国内多支安全团队先后捕获了一起针对 Python AI/ML 生态的严重供应链投毒事件。被投毒的对象是深度学习训练框架 Lightning 的官方 PyPI 包lightning，月下载量超过 1000 万次，几乎渗透进所有主流 AI 模型训练与部署流水线。攻击者通过篡改 lightning==2.6.2 与 2.6.3 版本，实现零交互自动窃密，数小时内即可能造成大规模凭据泄露、仓库投毒与横向传播。目前恶意版本仍未完全下架，请所有开发者立刻自查并采取应急措施。

攻击是如何发生的？导入即中招

此次攻击最凶险之处在于完全无需用户额外操作。只要执行：

pip install lightning==2.6.2    # 或 2.6.3

并在任何 Python 代码中 import lightning，恶意代码便会静默启动。该包内藏了一个隐匿的 _runtime 目录，包含以下恶意组件：

• start.py：

  检测系统环境，自动下载 Bun （超快速 JavaScript 运行时）

• router_runtime.js：

  高达 11 MB 的极端混淆 JavaScript 载荷，是真正的窃密与控制核心

启动过程通过守护线程在后台执行，不打印任何日志，用户完全无感知。这一机制使得恶意代码能在开发者毫不知情的情况下持续运行。

精密攻击链、窃密、投毒、蠕虫式扩散

反混淆后的 router_runtime.js 揭示了攻击者部署的三阶段攻击链，远非简单的偷取数据：

Stage 1：疯狂窃取秘钥与凭证

恶意脚本系统性收割以下所有敏感凭据：

• GitHub Token

  （含 gh auth token 直接读取）

• npm Token

• 云服务密钥：

  AWS 访问密钥、Azure 服务主体、GCP 服务账号

• CI/CD 秘密：

  GitHub Actions 的 secrets（从 Runner 内存中抓取）

• SSH 私钥、

  Kubernetes 服务账户 token、Docker 配置

• AI 开发工具配置：

  Claude、Kiro MCP 设置

• 完整环境变量 dump

  （process.env）

• 本地的 .env、``.npmrc、``.pypirc 等文件

Stage 2：GitHub 仓库持久化投毒

利用偷到的 GitHub Token，攻击者会：

• 在受害者的仓库中创建 10 字符随机分支（Shai-Hulud 蠕虫的经典指纹）
• 植入恶意文件 .claude/router_runtime.js、``.vscode/tasks.json、``setup.mjs 等
• 提交标题伪装为 chore: update dependencies，实现持久化控制

Stage 3：npm 蠕虫传播

恶意 JS 进一步尝试感染开发者本地的 npm 包，通过篡改 package.json 的 preinstall 脚本注入相同恶意载荷，达成从 Python→JS 生态的跨语言横向扩散。

与 Shai-Hulud 攻击高度同源，攻击者气焰嚣张

分析发现，本次攻击的混淆手法、GitHub API 滥用模式与臭名昭著的 Shai-Hulud 攻击高度重合。就在一天前（4 月 29 日），攻击者还用同一套恶意逻辑感染了 SAP 旗下 @cap-js/db-service 等 npm 包，同样是下载 Bun、执行同量级混淆 JS 载荷——这显示出攻击者正在对开源生态进行系统化、批量化的打击。

更令人震惊的是，Lightning-AI 官方的 GitHub 维护者账户 pl-ghost 疑似已被攻击者控制，出现了以下反常行为：

• 闪电关闭两个安全披露 Issue，并回复一张“SILENCE DEVELOPER”表情包
• 在多个仓库疯狂创建随机 10 字符分支，几秒后又删除
• 试图伪装成 Dependabot（甚至拼写错误）

攻击者还在 GitHub Issue 中公开了 Team PCP 的洋葱网站宣言，声称与 LAPSUS$ 等团伙合作，暗示这是一场有组织的勒索与数据破坏行动。幸运的是，Lightning-AI 仓库的分支保护、标签触发发布等策略，阻止了攻击者进一步污染源代码。

数百万开发者与无数 AI 环境面临风险

lightning 是 PyTorch Lightning 的官方统一包，每天下载量达 数十万次，月活用量超千万。几乎所有使用 Lightning 进行大模型训练、部署 AI 产品的团队，只要近期安装了 2.6.2 或 2.6.3，就可能已中招。受影响环境包括：

• 个人开发机器
• CI/CD 流水线（密钥泄露后攻击者可获得仓库写权限）
• 企业内部 AI 训练集群及关联的云账户

攻击者将窃取的高价值凭据用于进一步渗透，可能导致云账单暴涨、代码仓库被篡改、发布的软件被二次投毒等严重后果。

应急指南

1. 立即检查并卸载恶意版本

pip list | grep lightning

如果看到 2.6.2 或 2.6.3，立刻卸载：

pip uninstall lightning -y

并回滚到最后一个干净版本：

pip install lightning==2.6.1

2. 确认是否被植入恶意文件

检查您环境中是否存在以下特征文件或哈希：

• 文件路径：lightning/_runtime/router_runtime.js
• SHA256: 5f5852b5f604369945118937b058e49064612ac69826e0adadca39a357dfb5b1

3. 全量轮换凭据（按以下顺序，越早越好）

• GitHub：

  吊销所有 Personal Access Token，检查所有仓库的 Actions secrets，改用 OIDC token

• AWS：

  禁用所有可能泄露的访问密钥，检查 CloudTrail 异常调用

• Azure/GCP：

  重置所有服务主体密钥和服务账号密钥

• npm：

  用 npm token revoke 吊销名下所有 token，检查最近一周是否有异常 publish

• SSH 密钥对：

  若有泄露嫌疑，全部重新生成

• 其他：

  轮换环境变量中的数据库密码、API 密钥、CI/CD 变量等

4. 审计您拥有权限的所有 GitHub 仓库

• 查找随机 10 字符分支、无关的 Dependabot 提交
• 检查最近新增的 .claude/、``.vscode/ 等目录中的 .js/.mjs 文件
• 特别关注提交内容中包含 EveryBoiWeBuildIsAWormyBoi 字样的信息

5. 检查所有导入了恶意包的机器

包括本地开发机、服务器、容器、CI runner 日志，查找是否向 zero[.]masscan[.]cloud 发出的网络请求。

IOC 相关信息

恶意域名

• zero.masscan.cloud

  （信息外传地址：https://zero.masscan.cloud:443/v1/telemetry）

恶意文件哈希

• router_runtime.js

  SHA256: 5f5852b5f604369945118937b058e49064612ac69826e0adadca39a357dfb5b1 MD5: 40d0f21b64ec8fb3a7a1959897252e09

• lightning-2.6.2-py3-none-any.whl

  SHA256: 3071422c3294e7b61cb490c57c48c8dea569bacf12e57a078293b6547d7586d3

• lightning-2.6.3-py3-none-any.whl

  SHA256: 56070a9d8de0c0ffb1ec5c309953cf4679432df5a78df9aeb020fbb73d2be9fb

所有安装了 2.6.2 或 2.6.3 版本的环境，都应视为已沦陷，按上述指南全面处置。

此次攻击再次敲响警钟：供应链安全已从“代码漏洞”演进为“信任劫持”。一个广泛信赖的 AI 基础组件，一夜之间即可变成窃取全栈机密的渗透工具。

AI编程训练营第五期课程-0基础开发微信小程序，目前正在招生中，对小白非常友好，只要动手就能学会，有需要的小伙伴可后台私信【报名】获取详细信息。

参考资料：墨菲安全、Socket 安全团队相关通报与样本分析。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AGI安全 mmc mmc《紧急预警：热门AI训练框架 Lightning 的 PyPI 包遭供应链投毒攻击，数百万开发者受影响》