pip install превращается в русскую рулетку: хакеры начали массово минировать публичные Python-библиотеки 😢
Статистика напрягает: за 11 месяцев 2025 года количество вредоносных пакетов в PyPI подскочило на 54%, а другие специалисты и вовсе фиксирует рост атак через зависимости более чем на 150%.
Суть проблемы:
— Злоумышленники заливают в репозитории пакеты с «сюрпризом» (часто маскируясь под популярные либы);
— Разработчик устанавливает всё, не глядя в код;
— Вместе с желаемым в проект заезжает стилер, или, что еще хуже, бэкдор, который потом утекает в продакшн.
Учитывая, что Python сейчас язык №1 в мире (его используют 51% разработчиков), под ударом оказываются вообще все — от дата-сайентистов до бекендеров.