援引外媒BleepingComputer报道，Python的官方软件库PyPI正遭受黑客攻击，黑客利用垃圾软件包的形式发起洪水攻击，而这些软件包均采用来自BT种子或者其他在线盗版内容的电影名称命名，部分名称还包括年份、在线、免费等字样，例如，watch，army，of，the，dead，2021，full，online，movie，f...。

源码安装需要python2.6以上版本，其依赖模块paramiko、PyYAML、Jinja2、httplib2、simplejson、pycrypto模块，以上模块可以通过pip或easy，install进行安装，不过本部分既然提到的是源码安装，主要针对的无法上外网的情况下，可以通过pypi站点搜索以上包，下载后通过pythonse...。

已发现托管在Python软件包索引，PyPI，代码库中的三个恶意软件包，它们共计被下载12，000次——并且可能被偷偷安装在各种应用程序中，独立研究员安德鲁·斯科特，AndrewScott，在对PyPI中包含的代码进行近乎全站范围的分析时发现了这些包，PyPI是用Python编程语言创建的软件代码存储库，与GitHub、npm和Rub...。

研究人员发现，扫描工具原本负责清除通过流行的开源代码存储库PyPI分发的软件包所含的恶意代码，实际上却生成大量的误警报，PyPI是面向用Python编写的应用程序中使用的软件组件的主要代码库，Chainguard公司分析PyPI后发现，这种方法只揪出了59%的恶意软件包，但也误标了三分之一流行的合法Python软件包和15%的随机选择...。

去年因项目需要，用python写了个爬虫，因爬到的数据需要存到生产环境的PG数据库，所以需要将脚本部署到CentOS服务器，并设置定时任务，自动启动脚本，实施步骤如下，1.安装pip，操作系统自带了python2.6可以直接用，但是没有pip，#下载pip安装包wgethttps，pypi.python.org，packages，...。

2023年3月，研究人员在PyPI上发现了6个旨在窃取Windows用户的应用程序凭据、个人隐私数据与加密钱包信息，本次攻击确认是对攻击团伙W4SP的模仿，该组织之前曾利用恶意软件包发起过多次供应链攻击，PyPI中发现新的恶意软件包研究人员发现的6个恶意软件包，都缺少与之关联的GitHub存储库，合法软件包通常都会有与之关联的存储库，...。

2015年7月14日，全国网络安全技术对抗联赛XCTF总决赛全明星体验赛在南京隆重举行，比赛采用近期屡被认可的，e春秋，攻防兼备模式，在本届XCTF联赛总决赛中取得优异成绩的Oops、Rois、六星、天枢、Sigma、Leetspeak、Flappypig、dawn及正在集训中的神话代表队等9支堪称国内最顶尖的安全队伍展开了一场人人对...。

3、源码安装源码安装需要python2.6以上版本，其依赖模块paramiko、PyYAML、Jinja2、httplib2、simplejson、pycrypto模块，以上模块可以通过pip或easy，install进行安装，不过本部分既然提到的是源码安装，主要针对的无法上外网的情况下，可以通过pypi站点搜索以上包，下载后通过py...。

近半年来，一个未知的威胁行为者一直在向Python包索引，PyPI，资源库发布typosquat包，其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件，Checkmarx在一份新报告中说，这27个软件包伪装成流行的合法Python库，吸引了数千次下载，大部分下载来自美国、中国、法国、德国、俄罗斯、爱尔兰...。

大约一年前，Python软件基金会，PythonSoftwareFoundation，发起了一个信息请求，RFI，活动，讨论如何检测上传到PyPI的恶意程序包，无论是接管废弃的程序包、在流行的库中误植域名，Typosquatting，，还是使用凭证填充劫持程序包，很明显，这是一个影响几乎每一个程序包管理器的实际问题，误植域名，Typo...。