Популярный Python-пакет elementary-data, который скачивают более миллиона раз в месяц, оказался скомпрометирован. В релизе версии 0.23.3 злоумышленник разместил вредоносный код, похищающий секреты разработчиков и файлы криптокошельков.Из-за особенностей пайплайна проекта вредоносная версия попала не только в репозиторий PyPI, но и в официальный Docker-образ. Это означает, что под ударом оказались пользователи, запускающие пакет как напрямую, так и в контейнерах.Пакет elementary-data предназначен для мониторинга качества данных, поэтому его аудитория — в основном дата-инженеры и аналитики, имеющие доступ к чувствительным инфраструктурным данным. Кража секретов в такой среде может привести к компрометации целых кластеров обработки данных.На данный момент разработчики пакета уже удалили вредоносный релиз и выпустили чистую версию. Пользователям elementary-data рекомендуется срочно обновиться, а также проверить свои системы на наличие следов несанкционированного доступа.