Check Point的安全研究人员在Python软件包索引（PyPI）上发现了10个恶意软件包，这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text，这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包，因此复制了整个项目描述，而非过去常见的部分复制描述。一旦下载了Ascii2text，其将会通过下载一个脚本，收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络

Security Affairs 网站披露，Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包，旨在将无文件加密矿工投放到 Linux 机器系统的内存中。 据悉，该软件包将自身描述成“轻松匹配和验证秘密”，自 2020 年 8 月 6 日以来，已经有了 93 次下载。 网络安全专家发帖子表示，secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察，该软件包在用户 Linux 机器上暗中运行加密矿工（直接从用户的 RAM 中），这种技术

多家媒体披露，Python 软件包索引（PyPI）资源库中一个“休眠已久”的软件包在两年后突然再次更新了，研究人员发现，威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

这是一个python语言的软件仓库，是一个官方的、由Python社区维护的Python软件包仓库。它是Python程序员共享和发布Python软件包的主要平台。在PyPI上，您可以找到几乎所有的Python包和库，这些包和库可以帮助您完成各种任务，如数据科学、机器学习、网络编程、Web开发等。