2026年4月30日、AIモデル訓練の現場で広く使われるPyPIパッケージ lightning(PyTorch Lightning)のバージョン2.6.2と2.6.3が、サプライチェーン攻撃によって汚染されていたことが判明した。LLMのファインチューニング、画像分類器、拡散モデル(Diffusion Model)、時系列予測など、現代のAI開発ワークフローの中核に触れるライブラリだけに、影響を受けた可能性のある環境は相当数に上る。
攻撃の仕組み——インストールするだけで即感染
汚染バージョンをインストールすると、モジュールのインポート時に隠し _runtime ディレクトリに格納された難読化JavaScriptペイロードが自動実行される。pip install lightning の一コマンドで侵害が完了するという、極めてシンプルかつ危険な攻撃ベクターだ。
窃取対象は幅広い——GitHubトークン、AWS/Azure/GCPのシークレット、環境変数(.envの中身)、PyPIおよびnpmの公開トークンなどが含まれる。また、GitHubリポジトリへの不審ファイル注入も試みる。
攻撃グループは〈デューン〉シリーズの「シャイ=フルード(Shai-Hulud)」をテーマにしており、EveryBoiWeBuildIsaWormBoi という公開リポジトリを作成するなど、過去のMini Shai-Hulud作戦との連続性が確認されている。
4チャンネル同時流出という巧妙な設計
マルウェアは盗んだデータを4つの並列チャンネルで外部送信する。一部の経路が遮断されても別経路で流出させる設計だ。
- HTTPS POST(ポート443): C2サーバーのドメインを暗号化文字列で隠蔽し、静的解析を困難にする
- GitHubコミット検索デッドドロップ:
EveryBoiWeBuildIsAWormyBoi:プレフィックスのコミットメッセージ経由で、二重Base64エンコードされたトークンを受け渡す - 攻撃者管理のパブリックGitHubリポジトリ: ランダムなDune用語の名前でリポジトリを作成し、窃取した認証情報をJSON形式でコミット
- PyPI→npmへの横断感染(ワーム動作): npm publishトークンを入手できた場合、そのトークンで公開できるすべてのnpmパッケージに
setup.mjsドロッパーを注入してバージョンをバンプし再公開する
4番目のエコシステム横断感染が特に深刻だ。PyPIから侵入し、npm経由でJavaScriptエコシステムにまで飛び火する動作は、影響範囲の把握を著しく困難にする。
実務への影響——今すぐ確認すべきこと
対象バージョン: lightning==2.6.2 および lightning==2.6.3
出典: この記事は Shai-Hulud Themed Malware Found in the PyTorch Lightning AI Training Library の内容をもとに、筆者の見解を加えて独自に執筆したものです。