Cette version malveillante, restée en ligne environ 12 heures, recherchait et exfiltrait des données sensibles : profils utilisateurs, identifiants d’entrepôts de données, clés cloud, jetons API, clés SSH et variables d’environnement. Les autres versions et produits de l’écosystème Element n’ont pas été touchés.

Les développeurs recommandent à tous les utilisateurs de la version 0.23.3 de la considérer comme totalement compromise : désinstaller immédiatement cette version, passer à la 0.23.4, effacer les caches, rechercher les fichiers marqueurs du malware, et surtout renouveler toutes les informations d’identification accessibles lors de son exécution, en particulier dans les environnements CI/CD.

L’incident illustre la montée des attaques contre la chaîne d’approvisionnement open source, où la compromission d’un dépôt peut servir de point d’entrée vers de nombreuses infrastructures. Selon le chercheur HD Moore, les workflows GitHub personnalisés représentent une faiblesse fréquente, particulièrement difficile à sécuriser dans les projets open source ouverts.

Les développeurs exhortent tous les développeurs ayant installé la version 0.23.3 à suivre immédiatement les étapes suivantes :

1. Vérifiez votre version installée :

pip show elementary-data | grep Version

2. Si la version est 0.23.3, désinstallez-la et remplacez-la par la version sécurisée :

pip uninstall elementary-data

pip install elementary-data==0.23.4

Dans vos fichiers de configuration et de verrouillage, indiquez explicitement elementary-data==0.23.4.

3. Supprimez vos fichiers cache pour éviter tout artefact.

4. Recherchez le fichier marqueur du logiciel malveillant sur toute machine sur laquelle l’interface de ligne de commande a pu être exécutée : si ce fichier est présent, la charge utile a été exécutée sur cette machine.

macOS / Linux: /tmp/.trinny-security-update

Windows: %TEMP%\.trinny-security-update

5. Remplacez toutes les informations d’identification accessibles depuis l’environnement d’exécution de la version 0.23.3 : profils dbt, identifiants d’entrepôt de données, clés de fournisseur cloud, jetons d’API, clés SSH et contenu des fichiers .env. Les exécuteurs CI/CD sont particulièrement vulnérables car ils utilisent généralement de nombreux secrets lors de leur exécution.

6. Contactez votre équipe de sécurité pour détecter toute utilisation non autorisée d’identifiants exposés. Les indicateurs de compromission pertinents se trouvent au bas de cette page .

Source: https://arstechnica.com/security/2026/04/open-source-package-with-1-million-monthly-downloads-stole-user-credentials/