Salut,

L'office national de sécurité Slovaque a publié une liste de dix logiciels malveillants publiés sur le serveur de PyPI.

Le moyen utilisé pour tromper l'utilisateur consiste à utiliser un nom très similaire à celui d'une librairie connue et de profiter de la distraction de la personne qui veut installer cette lib. Par ex. "urlib" pour "urllib"

Avertis par leurs soins les admins de PyPI ont retirés les paquets incriminés.

Pour savoir si vous avez installé un de ces paquets utilisez la commande suivante:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
 
pip list –format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)"
En cas de doute, poser votre question ici avant de faire une bêtise.

Le site:
http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/