Un ataque a la cadena de suministro ha comprometido el paquete 'lightning' de PyTorch, afectando las versiones 2.6.2 y 2.6.3. Este malware, que se activa al instalar el paquete, roba credenciales y secretos de la nube, y se propaga a través de npm. Se sospecha que el ataque está vinculado a un actor detrás de una campaña anterior llamada 'Mini Shai-Hulud'. Los desarrolladores deben auditar sus proyectos y rotar credenciales para mitigar el riesgo.
semgrep.dev
Tecnologa
Alerta de Seguridad: Malware en PyTorch Afecta Versiones 2.6.2 y 2.6.3
