4月底，NPM包供应链攻击活动Mini Shai-Hulud针对SAP展开，该公司旗下4个包受到影响。如今，相关攻击已蔓延至其他开源生态系统。

安全公司Aikido、OX Security、Socket、StepSecurity发出警告，热门PyPI包Lightning遭遇供应链攻击，黑客于4月30日上传了恶意版本2.6.2和2.6.3。值得注意的是，多家安全公司均指出，此次事件是Mini Shai-Hulud攻击的延续。

Lightning开发团队已确认此事，并表示其账户疑似被蠕虫程序完全入侵。团队随后发布完整安全公告，提醒用户：若不慎安装了受污染的版本，应视为开发环境已被入侵，立即更换可能泄露的凭证和敏感信息，重建系统，将包版本锁定为2.6.1，并检查系统日志是否出现异常或未经授权的活动。该事件已被登记为CVE-2026-44484。