El paquete elementary-data en PyPI, con millones de descargas mensuales, fue comprometido para distribuir código malicioso tras la publicación de una versión alterada, en un incidente vinculado a manipulación de flujos automatizados y que afectó también a artefactos asociados.
Un paquete ampliamente utilizado en el ecosistema Python, “elementary-data”, fue comprometido para distribuir software malicioso, según reportes de seguridad y confirmaciones en sus repositorios oficiales. El incidente involucró la publicación de una versión alterada en PyPI, afectando a una herramienta utilizada en flujos de análisis de datos.
De acuerdo con datos de uso, el paquete registra millones de descargas mensuales, lo que amplifica el impacto potencial del incidente. Las estadísticas públicas indican un volumen significativo de adopción dentro de la comunidad, posicionándolo como un componente relevante en entornos de desarrollo y análisis de datos.
El ataque se habría materializado mediante la introducción de una versión maliciosa que incluía capacidades de robo de información. Algunos reportes señalan que esta variante fue distribuida como una actualización legítima del paquete, lo que facilitó su propagación entre usuarios que confiaban en el repositorio oficial.
Una investigación técnica de la firma StepSecurity indica que el incidente involucró la manipulación de procesos automatizados de publicación. En particular, se identificó la alteración de flujos de GitHub Actions, lo que permitió generar y distribuir artefactos comprometidos sin intervención directa visible en el código fuente principal.
En el repositorio del proyecto, los mantenedores confirmaron el incidente y comenzaron a documentar el alcance del problema. En una discusión pública se señala que “el paquete en PyPI fue comprometido”, reconociendo la distribución de versiones no confiables.
El análisis también detalla que la publicación maliciosa incluyó componentes diseñados para extraer información sensible desde los entornos donde era ejecutado. Este tipo de programa malicioso conocido como infostealer, suele enfocarse en credenciales, tokens y otros datos relevantes para accesos posteriores.
Desde el propio proyecto, se identificó la versión afectada y se recomendó a los usuarios revisar sus instalaciones y credenciales. En la página del paquete se observa la existencia de versiones específicas publicadas en el periodo del incidente, lo que permitió delimitar el alcance temporal del compromiso.
El caso también expone riesgos asociados a la cadena de suministro de software, particularmente cuando se utilizan automatizaciones para publicar paquetes. La combinación de confianza en repositorios oficiales y procesos automatizados puede facilitar la distribución de código malicioso si estos mecanismos son comprometidos.
El incidente continúa siendo analizado por los responsables del proyecto y por investigadores de seguridad, quienes buscan determinar con precisión cómo se produjo la intrusión y qué sistemas pudieron verse afectados tras la instalación de las versiones comprometidas.