Attacco alla catena di approvvigionamento AI: il malware Shai-Hulud colpisce la libreria PyTorch Lightning

Attacco sofisticato alla catena di approvvigionamento colpisce l'ecosistema di sviluppo AI

Un attacco critico alla catena di approvvigionamento del software ha compromesso la libreria di allenamento AI PyTorch Lightning, iniettando malware ispirato a Dune progettato per rubare credenziali e propagarsi attraverso gli ambienti di sviluppo. Il codice malevolo è stato scoperto nelle versioni 2.6.2 e 2.6.3 del pacchetto PyPI 'lightning', pubblicato il 30 aprile 2026.

Questo incidente rappresenta una significativa escalation nella campagna 'Shai-Hulud' in corso. I ricercatori di sicurezza di Semgrep, Socket e Wiz lo hanno collegato allo stesso attore della minaccia, identificato come TeamPCP, responsabile di precedenti attacchi a pacchetti npm e SAP. Il vettore di attacco colpisce direttamente la fiorente comunità di sviluppo AI/ML.

Come si svolge l'attacco: da PyPI a npm

L'attacco inizia quando uno sviluppatore installa il pacchetto lightning compromesso tramite pip. Al momento dell'importazione, una directory nascosta _runtime viene eseguita. Questa contiene un payload JavaScript offuscato di 14,8 MB progettato per essere eseguito sul runtime Bun.

Una volta attivato, il malware esegue una raccolta di credenziali multi-pronged. Scansiona oltre 80 percorsi di file di credenziali, scarica variabili d'ambiente e colpisce specificamente i segreti dei runner GitHub Actions, AWS, Azure e GCP. La destinazione è ampia, coprendo macchine di sviluppo locali, pipeline CI/CD e infrastrutture cloud.

Il meccanismo di propagazione del malware è particolarmente insidioso. Se scopre le credenziali di pubblicazione npm, si inietta in ogni pacchetto a cui quel token può accedere. Aggiunge uno script dropper, aumenta la versione patch e ripubblica il pacchetto avvelenato. Ciò crea un effetto simile a un worm, dove gli sviluppatori downstream che installano uno qualsiasi di questi pacchetti npm compromessi attivano il malware completo sui loro sistemi.

Tattiche avanzate di esfiltrazione e persistenza

L'esfiltrazione dei dati impiega quattro canali paralleli per garantire che i dati rubati escano, anche se alcuni percorsi sono bloccati. Questi includono POST HTTPS diretti a un server di comando e controllo, la creazione di repository pubblici GitHub con la descrizione "A Mini Shai-Hulud has Appeared", e l'abuso dell'API di ricerca dei commit di GitHub come dead-drop.

Forse la novità più interessante è l'abuso da parte del malware degli strumenti di sviluppo per la persistenza. Pianta hook in due strumenti comuni:

• Claude Code: Modifica .claude/settings.json per eseguire il malware all'avvio della sessione.
• VS Code: Crea un file .vscode/tasks.json che esegue il payload ogni volta che la cartella del progetto viene aperta.

Questo è tra i primi attacchi documentati nel mondo reale che abusano del sistema di hook di Claude Code, segnalando una nuova frontiera negli attacchi alla catena di approvvigionamento che sfruttano gli ambienti di sviluppo assistiti da AI.

Impatto e scala cross-ecosistema

Questo attacco dimostra una pericolosa cross-polinizzazione tra ecosistemi. Mentre il vettore di infezione iniziale era il pacchetto Python PyPI, il payload è JavaScript e la sua propagazione primaria avviene attraverso il registro npm. Secondo Ox Security, oltre 1.800 repository contenenti credenziali di sviluppatore rubate sono stati creati come parte degli attacchi più ampi di Mini Shai-Hulud.

La portata della campagna si estendeva oltre PyTorch Lightning. I pacchetti client npm Intercom (versioni 7.0.4 e 7.0.5) e il pacchetto Packagist PHP intercom-php (versione 5.0.2) sono stati compromessi, con quest'ultimo avendo oltre 20 milioni di download nella sua vita. Le prove suggeriscono che la compromissione di Intercom sia stata un risultato diretto dell'attacco a Lightning, dove un'installazione locale utilizzava il pacchetto infetto come dipendenza.

Indicatori di compromissione e risposta

Le organizzazioni devono immediatamente verificare le versioni dei pacchetti interessati: lightning@2.6.2 e lightning@2.6.3. I file chiave da cercare includono la directory nascosta _runtime/, .claude/settings.json, .vscode/tasks.json e i file dropper associati setup.mjs.

Gli indicatori di rete includono ricerche per messaggi di commit GitHub con prefisso EveryBoiWeBuildIsAWormyBoi o repository con la descrizione "A Mini Shai-Hulud has Appeared". Il dominio zero[.]masscan[.]cloud è stato anche identificato come parte dell'infrastruttura di esfiltrazione.

La bonifica è urgente. Qualsiasi sistema che ha importato il pacchetto malevolo dovrebbe essere considerato completamente compromesso. Tutti i token GitHub, le credenziali cloud (AWS, GCP, Azure) e le chiavi API presenti nell'ambiente interessato devono essere ruotati immediatamente. I repository di codice dovrebbero essere controllati per i file iniettati e qualsiasi flusso di lavoro GitHub Actions Formatter inatteso.

Il panorama delle minacce più ampio: sicurezza AI e della catena di approvvigionamento

Questo attacco si verifica all'interno di una tendenza preoccupante di attacchi alla catena di approvvigionamento che abusano delle piattaforme AI e di sviluppo fidate. Come notato in rapporti separati, gli attori della minaccia stanno sempre più avvelenando i repository su Hugging Face e ClawHub per distribuire malware, sfruttando la fiducia degli utenti negli strumenti AI legittimi.

Inoltre, le prove trovate in campagne simili, come i prompt lasciati nel codice malevolo, suggeriscono che gli aggressori stanno sempre più utilizzando i modelli linguistici di grandi dimensioni (LLM) per sviluppare e perfezionare i loro payload. Ciò crea un ciclo di feedback preoccupante in cui l'AI, utilizzata per accelerare lo sviluppo, viene anche utilizzata per attaccare gli ecosistemi che abilita.

La campagna Shai-Hulud, attribuita a TeamPCP, mostra un gruppo di criminalità informatica in crescita di sofisticatezza. Le loro operazioni sono evolute dal colpire singoli ecosistemi all'orchestrare attacchi multi-piattaforma, wormable, che possono saltare da Python a JavaScript a PHP, massimizzando i danni e complicando la difesa.

Per la comunità AI e open-source, questo è un duro promemoria. Gli strumenti che alimentano l'innovazione sono sotto attacco sostenuto. La gestione vigile delle dipendenze, la scansione robusta dei segreti e un approccio alla sicurezza-first per CI/CD non sono più opzionali—sono fondamentali per l'integrità della moderna catena di approvvigionamento del software.