Op 24 april 2026 is een malafide versie van de populaire Python-package "elementary-data" op PyPI geplaatst. Deze malafide variant bevatte malware die gevoelige gegevens en informatie uit cryptowallets wist te stelen. De kwaadaardige versie is inmiddels verwijderd van de officiële Python-package repository PyPI.

Elementary-data is een veelgebruikte tool binnen het dbt-ecosysteem (Data Build Tool) en heeft meer dan 1,1 miljoen downloads op PyPI. De malware was verborgen in het bestand elementary.pth en werd toegevoegd via een kwetsbaarheid in de GitHub Actions workflow van het project. Aanvallers maakten misbruik van een injectie-kwetsbaarheid door een specifieke comment achter te laten op een pull request. Hierdoor konden zij een GITHUB_TOKEN bemachtigen en een malafide release aanmaken. Deze werd vervolgens via de legitieme release pipeline gepubliceerd naar PyPI.

Volgens StepSecurity hebben systemen die geen specifieke versies van de package gebruiken automatisch de malafide variant gedownload. Meer details over de datadiefstal zijn te vinden in het onderzoek van StepSecurity. Het incident benadrukt het risico van kwetsbaarheden in geautomatiseerde workflows en het belang van het gebruik van gepinde versies van softwarepakketten.