- Популярные видео
- Авто
- Видео-блоги
- ДТП, аварии
- Для маленьких
- Еда, напитки
- Животные
- Закон и право
- Знаменитости
- Игры
- Искусство
- Комедии
- Красота, мода
- Кулинария, рецепты
- Люди
- Мото
- Музыка
- Мультфильмы
- Наука, технологии
- Новости
- Образование
- Политика
- Праздники
- Приколы
- Природа
- Происшествия
- Путешествия
- Развлечения
- Ржач
- Семья
- Сериалы
- Спорт
- Стиль жизни
- ТВ передачи
- Танцы
- Технологии
- Товары
- Ужасы
- Фильмы
- Шоу-бизнес
- Юмор
PyTorch Lightning piraté - Shai-Hulud vole les credentials #Shorts
PyTorch Lightning, la lib qui entraîne la moitié des modèles d'IA de la planète, vient de se faire pirater. Le 30 avril 2026, deux versions backdoorées (2.6.2 et 2.6.3) sont apparues sur PyPI - payload obfusqué de 11 Mo, runtime Bun téléchargé en silence, vol de credentials, tokens GitHub, secrets AWS. Et le malware se réplique tout seul dans les repos GitHub des victimes. Le ver s'appelle Shai-Hulud (oui, comme dans Dune) - il pose même des hooks de persistence dans Claude Code et VS Code. Première fois qu'on voit ce type d'attaque en prod sur des outils dev IA.
Le bug en bref :
- 30 avril 2026 : versions 2.6.2 et 2.6.3 publiées sur PyPI, backdoorées
- Payload : dossier caché _runtime, runtime Bun téléchargé, 11 Mo de JavaScript obfusqué exécuté à l'import
- Vol : credentials, tokens GitHub, variables d'environnement, secrets AWS/GCP/Azure
- Propagation : worm-like via tokens npm publish + GitHub des victimes
- Persistence : hooks plantés dans Claude Code et VS Code (premier cas documenté)
- Victimes confirmées : comptes développeurs Anthropic + python-intercom-client
Réponse Lightning AI :
- Détection par Socket en 18 minutes
- Quarantaine PyPI en 42 minutes chrono - réponse record
- Version propre 2.6.1 (30 janvier 2026) reste safe
- Postmortem public publié immédiatement
Mitigation immédiate :
- Bloquer pytorch-lightning 2.6.2 et 2.6.3
- Downgrade en 2.6.1
- Rotate TOUS les credentials exposés (clés AWS, tokens GitHub, env vars)
- Audit Claude Code / VS Code pour hooks suspects
Sources :
- The Hacker News : PyTorch Lightning and Intercom-client Hit in Supply Chain Attacks (30 avril 2026)
- Lightning AI Blog : How the Community Discovered a Supply Chain Attack and Fixed it in 42 Minutes
- Semgrep : Shai-Hulud Themed Malware in PyTorch Lightning
- Socket : lightning PyPI Package Compromised in Supply Chain Attack
- Sonatype : Malicious PyTorch Lightning Packages Found on PyPI
- Aikido : Popular PyTorch Lightning Package Compromised by Mini Shai-Hulud
Watchpost - Tech : l'actu tech sans bullshit.
#Shorts #CyberSécurité #PyTorch #PyPI #SupplyChain #ShaiHulud #IA #MachineLearning #DevSecOps #ClaudeCode #VSCode #Anthropic #LightningAI #ZeroDay #InfoSec #TechNews #Python #Malware #Vulnérabilité #OpenSource
Видео PyTorch Lightning piraté - Shai-Hulud vole les credentials #Shorts канала Watchpost - Tech
Le bug en bref :
- 30 avril 2026 : versions 2.6.2 et 2.6.3 publiées sur PyPI, backdoorées
- Payload : dossier caché _runtime, runtime Bun téléchargé, 11 Mo de JavaScript obfusqué exécuté à l'import
- Vol : credentials, tokens GitHub, variables d'environnement, secrets AWS/GCP/Azure
- Propagation : worm-like via tokens npm publish + GitHub des victimes
- Persistence : hooks plantés dans Claude Code et VS Code (premier cas documenté)
- Victimes confirmées : comptes développeurs Anthropic + python-intercom-client
Réponse Lightning AI :
- Détection par Socket en 18 minutes
- Quarantaine PyPI en 42 minutes chrono - réponse record
- Version propre 2.6.1 (30 janvier 2026) reste safe
- Postmortem public publié immédiatement
Mitigation immédiate :
- Bloquer pytorch-lightning 2.6.2 et 2.6.3
- Downgrade en 2.6.1
- Rotate TOUS les credentials exposés (clés AWS, tokens GitHub, env vars)
- Audit Claude Code / VS Code pour hooks suspects
Sources :
- The Hacker News : PyTorch Lightning and Intercom-client Hit in Supply Chain Attacks (30 avril 2026)
- Lightning AI Blog : How the Community Discovered a Supply Chain Attack and Fixed it in 42 Minutes
- Semgrep : Shai-Hulud Themed Malware in PyTorch Lightning
- Socket : lightning PyPI Package Compromised in Supply Chain Attack
- Sonatype : Malicious PyTorch Lightning Packages Found on PyPI
- Aikido : Popular PyTorch Lightning Package Compromised by Mini Shai-Hulud
Watchpost - Tech : l'actu tech sans bullshit.
#Shorts #CyberSécurité #PyTorch #PyPI #SupplyChain #ShaiHulud #IA #MachineLearning #DevSecOps #ClaudeCode #VSCode #Anthropic #LightningAI #ZeroDay #InfoSec #TechNews #Python #Malware #Vulnérabilité #OpenSource
Видео PyTorch Lightning piraté - Shai-Hulud vole les credentials #Shorts канала Watchpost - Tech
Комментарии отсутствуют
Информация о видео
2 мая 2026 г. 20:00:05
00:00:52
Другие видео канала
NVIDIA GB300 : Le monstre qui enterre le Cloud
fast16 - l'ancêtre secret de Stuxnet exhumé après 21 ans #Shorts
18 000 Routeurs Piratés par le GRU Russe #Shorts
CVE-2026-3854 - RCE GitHub en 1 git push #Shorts
OpenAI dépose son IPO à mille milliards : la math est brutale #Shorts
Canvas piraté : 275M comptes étudiants en otage #Shorts
108 Extensions Chrome Vérolées - Supprime-les MAINTENANT
Oracle vire 30 000 employés par email pour l'IA
NGINX Rift : 18 ans de heap overflow, un tiers du web pété #Shorts
cPanel CRLF : 1,5M serveurs root en 1 retour chariot #Shorts
Google met ses data centers en orbite, SpaceX embarqué #Shorts
Samsung en grève : 50 000 ouvriers menacent la mémoire IA #Shorts
Exchange OWA pété - zero-day CVE-2026-42897 sans patch #Shorts
12$ suffisent pour pirater ta banque #Shorts
OpenAI lève 122 MILLIARDS $ : record pulvérisé
Cerebras +68% au Nasdaq : la fausse alternative à Nvidia #Shorts
Meta trahit l'open source - Muse Spark est fermé
Première IA-Zero-Day : Google stoppe l'attaque de masse #Shorts
9,5 M$ volés sur l'App Store - fausse app Ledger #Shorts
Palo Alto piraté en root - Patche TON firewall #Shorts
