月間ダウンロード1,100万回超の人気PyPIパッケージ、スティーラー配布する悪性版を攻撃者が公開

月間ダウンロード1,100万回超の人気PyPIパッケージ、スティーラー配布する悪性版を攻撃者が公開

BleepingComputer – April 27, 2026

月間ダウンロード数が1,100万回を超える人気のPyPIパッケージ「elementary-data」の悪意あるバージョンを攻撃者が公開し、開発者の機微なデータや暗号資産ウォレット情報を窃取しようとしていたとの報道。影響はDockerイメージにも広がっているという。

elementary-dataは、dbt向けのオープンソースのデータ可観測性ツール。主にデータパイプラインを扱うデータ／アナリティクスエンジニアによって利用されている。コミュニティメンバーの「crisperik」氏が悪意あるアップロードを発見し、4月25日に同プロジェクトのGitHubでissueを作成。0.23.3バージョンに悪意あるコードが含まれているようだとメンテナに警告したことで、問題が公になった。

このインシデントについて分析したStepSecurityの研究者らによれば、攻撃者はメンテナのアカウントを侵害するのではなく、elementary-dataプロジェクトのワークフローにおける欠陥を突いて悪意あるバージョンの公開に成功したとされる。

具体的には、攻撃者はまず、ある公開プルリクエストのコメントセクションに悪意あるコードを投稿。GitHub Actionsワークフロー（.github/workflows/update_pylon_issue.yml）におけるスクリプトインジェクションの脆弱性を悪用してこのワークフローにシェルコードを実行させたという。

攻撃者は、これにより漏洩した同ワークフローのGITHUB_TOKENを利用して署名付きのコミットとタグ（v0.23.3）を偽造し、elementaryプロジェクトの正規のリリースパイプラインをトリガー。パイプラインはバックドアの仕込まれたパッケージをビルドしてPyPIに公開するとともに、悪意のあるイメージをGitHub Container Registryに公開し、公式リリースであるかのように見せかけたという。

攻撃者が公開した悪意あるリリースには、起動時に自動で実行されてスティーラーをロードするファイル「elementary.pth」が含まれていた。このスティーラーは、以下のタイプのデータを標的にする性能を持っていたとされる。

• SSH鍵、Git認証情報、クラウド認証情報（AWS、GCP、Azure）
• Kubernetes、Docker、CIのシークレット
• .envファイルおよび開発者トークン
• 暗号資産ウォレットファイル（ビットコイン、ライトコイン、ドージコイン、Zcash、Dash、モネロ、リップル）
• システムデータ

PyPIへのアップロードを担うリリースパッケージワークフローには「build-and-push-docker-image」ジョブも含まれるため、同一のペイロードが同プロジェクトのDockerイメージにも到達していたとStepSecurityは述べている。

クリーンな代替版である「elementary-data 0.23.4」がすでにユーザーに配信されているものの、悪意のあるバージョンをダウンロードしたユーザーは、引き続き侵害されたままとなっている。該当するユーザーには、すべてのシークレットをローテーションすること、また既知のセーフポイントから自身の環境を復元することが推奨されている。

GlassWorm再来：73件の「スリーパー」拡張機能がOpenVSXエコシステムを標的に

The Hacker News – Apr 27, 2026

2025年10月に初めて観測されたサプライチェーン攻撃キャンペーン「GlassWorm」の新たな攻撃波について、Socketが報告。アップデートを経て悪性化する73件の「スリーパー拡張機能」により、OpenVSXエコシステムが狙われていると注意喚起した。

GlassWormは2025年10月以降、数度にわたって攻撃波が確認されているサプライチェーン侵害ワームマルウェアキャンペーン。当初の標的はVSCode/OpenVSXだったが、その後GitHubリポジトリやnpmパッケージにもターゲットを拡大し、2026年3月にはGitHub・npm・VSCode・OpenVSXのリポジトリ400件超の侵害が発見されていた。

一方で今回Socketが報告した新たな攻撃で採用された戦術は、OpenVSXのみに無害な拡張機能を公開し、その後のアップデートを通じて悪性ペイロードを忍びこませるというもの。これらの拡張機能はマルウェアを直接搭載するのではなく、以下のいずれかの方法でマルウェアを取得するローダーとして機能するようになっている。

• 実行時にGitHubから二次的なVSIXパッケージを取得し、CLIコマンドを使用してそれをインストールする
• 追加のペイロードの取得や、対応エディタ全体でのインストールルーチンの実行など、中核となるロジックを含むプラットフォーム固有のコンパイル済みモジュール（.nodeファイル）をロードする
• 実行時にデコードされて悪意のある拡張機能を取得・インストールする、高度に難読化されたJavaScriptを利用する

Socketによれば、攻撃者は正規のOpenVSX拡張機能の「クローン版」を73件用意し、このうち以下6件をすでにアクティベートしてマルウェアを配布できる状態にしているという。下記以外の拡張機能については一見無害に見えて「休眠状態」を維持しているものの、今後のアップデートで悪性化する恐れがあるとされる。

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• winnerdomain17.version-lens-tool

Socketは新たなGlassWormマルウェアの技術的な詳細を明かしていない。ただ、過去の攻撃では暗号資産ウォレットデータや認証情報、アクセストークン、SSH鍵、開発者環境データなどが狙われており、今回の亜種も同様の窃取性能を有している可能性がある。

Socketは最新のGlassWorm攻撃と関連していると思われる拡張機能73件の一覧をブログ記事に掲載しており、いずれかをインストールした開発者には、すべてのシークレットをローテーションし、環境をクリーンアップすることが推奨されている。