PyPI 包 lightning 遭供应链攻击，窃取开发者凭证并毒化仓库

Socket 报告，深度学习 PyPI 包 lightning 的 2.6.2 与 2.6.3 版本被植入恶意代码，导入即自动下载执行混淆 JavaScript 载荷，窃取 GitHub token、云凭证和环境变量。偷得的权限被用于向仓库注入伪装提交并毒化本地 npm 包，模式类似 Shai-Hulud 蠕虫。维护账户 pl-ghost 疑似被控，关闭安全预警 Issue 并尝试横向移动。建议立即移除恶意版本，降级至 2.6.1，并轮换受影响的全部密钥。