為深度學習框架PyTorch打造的PyPI程式庫Lightning遭供應鏈攻擊

資安公司Aikido、OX Security、Socket、StepSecurity提出警告，熱門PyPI套件Lightning遭遇供應鏈攻擊，駭客於4月30日上架惡意版本2.6.2與2.6.3。值得留意的是，這些資安公司不約而同指出，這起事故是Mini Shai-Hulud的延伸。

對此，Lightning開發團隊證實此事，並表示他們的帳號疑似遭到蠕蟲程式完全入侵，後續發布完整的資安公告指出，若是用戶不慎安裝有問題的套件，應認定開發環境已遭入侵，立即輪著可能被洩露的憑證與機密資料、重建系統、將套件固定為2.6.1版，並檢查事件記錄檔案是否出現可疑或未經授權的活動，該事故被登記為CVE-2026-44484列管。