Według nowego raportu BleepingComputer, oficjalne repozytorium pakietów oprogramowania PyPI Python jest atakowane przez cyberprzestępców, którzy zaczęli zalewać je pakietami spamu. Te pakiety spamu używają stylu nazewnictwa powszechnie kojarzonego z torrentami i innymi pirackimi treściami online, gdzie nazwa każdego pakietu zawiera tytuł filmu, bieżący rok oraz słowa online i free, takie jak „watch-army -of-the-dead- 2021-full-online-movie-free-hd- quality."Starszy inżynier oprogramowania Sonatype, Adam Boesch, jako pierwszy odkrył te podejrzane pakiety, gdy znalazł komponent PyPI noszący nazwę popularnego programu telewizyjnego. Boesch przedstawił dodatkowe informacje o swoim odkryciu w wywiad z BleepingComputer, mówiąc: „Przeglądałem zestaw danych i zauważyłem„ wandavision ”, co jest trochę dziwne jak na nazwę pakietu. Po bliższym przyjrzeniu się znalazłem tę paczkę i otrzymałem ją. Sprawdziłem PyPI, ponieważ tak nie myślałem. Nie jest to rzadkością w innych ekosystemach, takich jak npm, gdzie istnieją miliony pakietów. Na szczęście takie paczki są dość łatwe do wykrycia i uniknięcia”.