BR-Linux.org

Um órgão governamental da Eslováquia divulgou a presença de pacotes adulterados no PyPI, o repositório de software mantido pelo projeto Python.

As adulterações incluíam o conteúdo de pacotes populares, com a inclusão de conteúdo malicioso (mas não diretamente destrutivo) nos scripts de instalação (setup.py), e adotando nomes similares aos dos pacotes originais: urllib X urrlib3, bzip X bzip2, etc.

Os administradores do repositório foram notificados e os pacotes (que ficaram disponíveis entre junho e setembro) foram removidos, mas os riscos de processo e de projeto que permitiram sua inclusão (ausência de verificação de conteúdo, de similaridade de nomes, etc.) permanecem – embora sejam comuns a muitos repositórios similares, exigindo atenção especial de seus usuários.

(via lwn.net - “Malicious software libraries found in PyPI [LWN.net]”)