En otro ataque más a la cadena de suministro de software, los actores de amenazas lograron comprometer el popular paquete Python Lightning para impulsar dos versiones maliciosas para llevar a cabo el robo de credenciales.
Según Aikido Security, Socket y StepSecurity, las dos versiones maliciosas son las versiones 2.6.2 y 2.6.3, las cuales se publicaron el 30 de abril de 2026. Se considera que la campaña es una extensión del incidente de la cadena de suministro Mini Shai-Hulud que tuvo como objetivo los paquetes npm relacionados con SAP el miércoles.
Al momento de escribir este artículo, los administradores del repositorio del índice de paquetes de Python (PyPI) han puesto en cuarentena el proyecto. PyTorch Lightning es un marco Python de código abierto que proporciona una interfaz de alto nivel para PyTorch. El proyecto de código abierto tiene más de 31.100 estrellas en GitHub.
«El paquete malicioso incluye un directorio _runtime oculto que contiene un descargador y una carga útil de JavaScript ofuscada», dijo Socket. «La cadena de ejecución se ejecuta automáticamente cuando se importa el módulo Lightning, y no requiere ninguna acción adicional del usuario después de la instalación e importación».
La cadena de ataque allana el camino para un script de Python («start.py»), que descarga y ejecuta el tiempo de ejecución de Bun JavaScript, y luego lo utiliza para ejecutar una carga útil maliciosa ofuscada de 11 MB («router_runtime.js») con el objetivo de realizar un robo de credenciales integral.
Los mantenedores del proyecto han reconocido que «somos conscientes del problema y estamos investigando activamente». Actualmente no está claro cómo ocurrió el incidente, pero hay indicios de que la cuenta de GitHub del proyecto se ha visto comprometida.
De entre las credenciales recopiladas, los tokens de GitHub se validan con el punto final «api.github(.)com/user» antes de usarse para inyectar una carga útil similar a un gusano en hasta 50 ramas recuperadas de cada repositorio en el que el token puede escribir.
«La operación es un upsert: crea archivos que aún no existen y sobrescribe silenciosamente los archivos que sí existen», agregó Socket. «No se realiza ninguna verificación previa del contenido existente. Cada confirmación envenenada se crea utilizando una identidad codificada diseñada para hacerse pasar por el Código Claude de Anthropic».
Por otra parte, el malware implementa un vector de propagación basado en npm que modifica los paquetes npm locales del desarrollador con un gancho postinstalación en el archivo «package.json» para invocar la carga maliciosa, aumenta el número de versión del parche y vuelve a empaquetar los archivos comprimidos .tgz. Si el desarrollador desprevenido publica los paquetes manipulados desde su entorno local, estarán disponibles en npm, desde donde el malware termina en los sistemas de los usuarios posteriores.
Mientras tanto, se recomienda bloquear las versiones 2.6.2 y 2.6.3 de Lightning y eliminarlas de los sistemas de desarrollador, si ya están instaladas. También es esencial degradar a la última versión limpia conocida, 2.6.1, y rotar las credenciales expuestas en los entornos afectados.
El ataque a la cadena de suministro es la última incorporación a una larga lista de compromisos llevados a cabo por un actor de amenazas conocido como TeamPCP, que ahora lanzó un sitio web cebolla en la web oscura después de que su cuenta fuera suspendida en X por violar las reglas de la plataforma.
También calificó a LAPSUS$ como «un buen socio nuestro y que ha estado muy involucrado durante toda esta operación». El grupo también destacó que «nunca ha utilizado herramientas de cifrado VECT y somos dueños de CipherForce, nuestro propio casillero privado», luego de un informe de Check Point Research sobre vulnerabilidades descubiertas en el proceso de cifrado del ransomware.
Paquete Intercom npm comprometido como parte de Mini Shai-Hulud
En un desarrollo relacionado, se supo que la versión 7.0.4 de intercom-client se vio comprometida como parte de la campaña Mini Shai-Hulud, siguiendo un modus operandi similar al de los paquetes SAP para desencadenar la ejecución de un malware de robo de credenciales utilizando un gancho de preinstalación.
«La superposición es significativa porque la campaña SAP CAP estaba vinculada a la actividad de TeamPCP en base a detalles técnicos compartidos, incluidos patrones distintivos de implementación de carga útil, exfiltración basada en GitHub, recolección de credenciales en entornos de desarrollador y CI/CD, y similitudes con ataques anteriores que afectaron a Checkmarx, Bitwarden, Telnyx, LiteLLM y Aqua Security Trivy», dijo Socket.
