Lightning PyPI vergiftet: Versionen 2.6.2 + 2.6.3

Q: Welche Versionen genau sind vergiftet?

Konkret lightning==2.6.2 und lightning==2.6.3, am 30. April 2026 auf PyPI publiziert. Frühere Versionen (≤ 2.6.1) und nachfolgende Hotfixes (2.6.4+) sind nicht betroffen.

Q: Reicht ein Downgrade auf 2.6.1?

Ja, sofern der Install der vergifteten Versionen nie in deinem Container/Env gelaufen ist. Lief er einmal, gilt: Container neu bauen oder Maschine säubern und alle in der Umgebung sichtbaren Secrets rotieren.

Wer Lightning für PyTorch nutzt, muss heute genau hinsehen. Am 30. April 2026 wurden zwei manipulierte Versionen des populären MLOps-Pakets lightning – konkret 2.6.2 und 2.6.3 – auf PyPI veröffentlicht. Die Pakete enthalten zusätzlichen Code, der beim Install Credentials abzieht. Das Lightning-Team und PyPI haben die Versionen nach Bekanntwerden zurückgezogen, aber wer in dem Zeitfenster gebaut hat, sitzt auf einem Problem.

WIE die Vergiftung funktioniert

Der Schadcode hängt am Install-Hook und liest beim ersten Import lokale Umgebungsvariablen aus – typischerweise WANDB_API_KEY, HF_TOKEN, OPENAI_API_KEY, ANTHROPIC_API_KEY, AWS-Credentials und mehr. Diese werden an einen externen Endpoint gesendet. Klassischer Supply-Chain-Angriff – das Muster kennen wir bereits von ähnlichen npm-Vorfällen aus den Vorwochen.

SCHOCK: Wer am wahrscheinlichsten getroffen wurde

Besonders gefährdet sind CI-Runner und Trainings-Container, in denen Secrets direkt als Environment-Variablen vorliegen. Auch Dev-Maschinen mit lokalen .env-Files, die in den Prozess geladen werden, sind Kandidaten. Wer pinnt und Lockfiles benutzt (uv.lock, poetry.lock), ist nur dann sicher, wenn er nicht mit den vergifteten Versionen aufgelöst hat.

JETZT handeln: 5-Minuten-Plan

Erstens: pip install "lightning!=2.6.2,!=2.6.3" in deinem Constraint-File hinterlegen oder direkt auf 2.6.4+ updaten, sobald verfügbar. Zweitens: alle Build-Caches in CI verwerfen (~/.cache/pip, GitHub Actions Cache). Drittens: alle Secrets, die in Build-Pipelines exponiert waren, rotieren – API-Keys, AWS, Hugging Face, Wandb, Cloud-Provider. Viertens: Audit-Logs der relevanten Provider durchgehen, ob ungewöhnliche Aktivitäten in den letzten 48 Stunden zu sehen sind.

EXTRA-TIPP: Supply-Chain-Hygiene härten

Setz in deiner CI auf Hash-pinned Lockfiles und ein Supply-Chain-Tool wie pip-audit oder uv mit Signaturchecks. Für sensible Pipelines lohnt sich, Secrets mit OIDC-Federation zu kurzzeitigen Tokens zu wandeln – dann sind die im Container sichtbaren Werte nur Minuten gültig und ein Leak ist deutlich schmerzfreier.

FAZIT: Lightning ist nur das nächste

Lightning ist diese Woche dran, in der nächsten ein anderes populäres Paket. Supply-Chain-Angriffe auf PyPI und npm sind 2026 nicht mehr die Ausnahme. Der einzige stabile Schutz: Lockfiles mit Hashes, Secrets out of build environments, und ein Audit, der ständig läuft – nicht nur dann, wenn ein konkretes Paket auffliegt.

Quellen

Häufige Fragen

Welche Versionen genau sind vergiftet?

Konkret lightning==2.6.2 und lightning==2.6.3, am 30. April 2026 auf PyPI publiziert. Frühere Versionen (≤ 2.6.1) und nachfolgende Hotfixes (2.6.4+) sind nicht betroffen.

Reicht ein Downgrade auf 2.6.1?

Ja, sofern der Install der vergifteten Versionen nie in deinem Container/Env gelaufen ist. Lief er einmal, gilt: Container neu bauen oder Maschine säubern und alle in der Umgebung sichtbaren Secrets rotieren.

Wie merke ich, ob meine Tokens schon weg sind?

Schau in die Audit-Logs der jeweiligen Provider (AWS CloudTrail, OpenAI Activity, Anthropic Usage, GitHub PAT-Logs) auf ungewöhnliche IPs oder Locations seit dem 30. April. Im Zweifel: rotieren – ist günstiger als die Aufräum-Arbeit später.

Schützt Renovate/Dependabot davor?

Nur indirekt. Auto-Update-Bots können das Problem sogar beschleunigen, weil sie die vergifteten Versionen schneller einspielen. Hash-pinned Lockfiles und Reviews vor dem Merge sind der bessere Schutz.

PYTHON-ALARM! Lightning-Paket WURDE VERGIFTET – diese Versionen klauen JETZT deine Tokens!