Python パッケージ elementary-data の侵害:悪意のバージョン 0.23.3 が PyPI に公開された

Popular PyPI Package With 1 Million Monthly Downloads Hacked to Inject Malicious Scripts

2026/04/28 CyberSecurityNews — 人気の Python パッケージ elementary-data を侵害する、大規模なソフトウェア・サプライチェーン攻撃が検出された。この攻撃により、数千の開発者が資格情報の窃取にさらされている。脅威アクターは悪意のバージョン 0.23.3 を Python Package Index (PyPI) に公開すると同時に、GitHub Container Registry (GHCR) 上の対応 Docker イメージも汚染した。

月間で 100 万以上のダウンロードを持つ elementary-data は、データ・オブザーバビリティ・ツールであるため、サイバー犯罪者にとって極めて収益性の高い標的となる。

StepSecurity 研究者たちの詳細な報告によると、この攻撃は開発者のパスワード窃取には依存していない。

その代わりに攻撃者は、プロジェクトの GitHub Actions パイプラインにおけるスクリプト・インジェクションの脆弱性を悪用している。

the original community report(source : stepsecurity )
the original community report (source : stepsecurity )
情報窃取ペイロード

新規作成された GitHub アカウントが、公開プルリクエストのコメントに悪意あるスクリプトを投稿した。自動ワークフローが、このコメントを安全に処理できなかったことで、システムによりコードが実行された。

このタイミングで攻撃者は、ワークフローに組み込まれたアクセス・トークンを悪用して、検証済みのリリース・コミットを偽造し、メインコード・ベースに一切手を加えることなく公式の公開プロセスをトリガーした。

The malicious elementary-data 0.23.3 release was listed as the latest on PyPI(source : stepsecurity)
The malicious elementary-data 0.23.3 release was listed as the latest on PyPI (Source: stepsecurity)

その結果、悪意の elementary-data 0.23.3 リリースが、PyPI 上で最新として表示された。それがインストールされると、侵害されたパッケージは “elementary.pth” という単一の悪意のファイルを環境に配置する。Python は、インタープリタ起動時に “.pth” ファイルを自動実行するため、マルウェアが即座に起動する。

脅威インテリジェンスによると、このペイロードは高度な 3 段階の情報窃取マルウェアであり、開発者の重要シークレットと資格情報を積極的に探索する。

具体的には、以下を標的とする:

  • AWS/Google Cloud/Azure のクラウド・アクセス・トークン
  • SSH 秘密鍵および Git 資格情報
  • Kubernetes サービス・アカウント・トークンと Docker コンフィグ
  • アプリケーション・シークレットを含む environment (.env) ファイル
  • Bitcoin および Ethereum を含む複数の暗号通貨ウォレット

窃取されたデータは、アーカイブに圧縮された後に、攻撃者が制御する C2 (command-and-control) サーバへ密かに送信される。

The malicious elementary.pth file shipped inside the wheel(source : stepsecurity)
The malicious elementary.pth file shipped inside the wheel (source : stepsecurity)
影響を受けるバージョン

影響を確認するために StepSecurity が推奨するのは、インストール済みビルドのチェックである。

侵害された elementary-data PyPI パッケージは 0.23.3 であるため、0.23.4/0.23.2 を使用している環境は安全である。同様に、影響を受ける Docker イメージは “ghcr.io/elementary-data/elementary:0.23.3” であるが、0.23.4/0.23.2 はクリーンである。

さらに latest タグで、ハッシュ値が 634255 で終わる場合には、その環境は侵害されていると捉えるべきだ。latest タグを必ず新しいクリーン・ビルドに更新する必要があると、StepSecurity は警告している。

The injected payload running inside the workflow(source : stepsecurity)
The injected payload running inside the workflow (source : stepsecurity)


コミュニティ・メンバーである Crisperik/H-Max が、悪意コードを検出した後にメンテナたちに通知した。Elementary チームは即座に対応し、PyPI および GHCR から危険な 0.23.3 を削除し、クリーンな 0.23.4 を公開した。

影響を受けた開発者は、API キーおよびデータベース・パスワードなどの、すべての資格情報を完全にローテーションする必要がある。

重要インフラでは MFA を有効化する必要がある。さらに、依存パッケージについては検証済みバージョンに固定し、自動更新による悪意の導入を防止する必要がある。

訳者後書:開発プロセスの一部である GitHub Actions の脆弱性を突く、ソフトウェア・サプライチェーン攻撃を解説する記事です。この問題の原因は、プルリクエストのコメントに含まれるスクリプトを、自動化されたワークフローが不適切に処理したことにあります。このインジェクションにより、本来は保護されているはずのリリース用トークンが盗まれ、正規のルートで悪意のバージョン 0.23.3 が配布される結果となりました。 Python の仕様で自動実行される “.pth” ファイルが悪用され、 AWS のトークンや SSH 秘密鍵といった重要なシークレットが窃取の標的となっています。ご利用のチームは、ご注意ください。よろしければ、Python での検索結果も、ご参照ください。