Автор оригинала: Mike Driscoll.
Еще раз индекс упаковки Python (Pypi) был поражен вредоносными библиотеками. Более 3500 из них на самом деле. Вы можете прочитать больше об этом в Регистр или Блог Sonatype Отказ Администраторы в Pypi были быстрыми удаления этих библиотек и минимизируют риск их установки людей.
На стороне плюс эти библиотеки, казалось, были в основном делать доброкачественный запросы на токио на основе IP. Им также удалось заполнить упаковочный сайт NPM.
Единственным конкретным вредоносным пакетом, который я видел, является вариантом из чашки, пакета Python, который использует Numpy для параллельной вычислительной платформы NVIDIA.
Хотя это, возможно, была попытка предупредить разработчиков слабостей в цепочке их поставок, в прошлом произошло несколько других типоразмерных инцидентов на Pypi, которые были более коварными.
Как всегда, убедитесь, что вы понимаете, что вы устанавливаете, когда вы используете PIP. Он должен убедиться, что вы загружаете и устанавливаете правильные пакеты.