マイナビニュース

PyPIダウンロード時にコード実行する機能、犯罪に悪用される恐れ

The Hacker Newsは9月2日(米国時間)、「Warning: PyPI Feature Executes Code Automatically After Python Package Download」において、3分の1近くのPyPI (Python Package Index)パッケージがダウンロードされた時点で自動的にコードを実行すると伝えた。この機能が悪用された場合、開発者が ...
note

【#454】「pip」と「uv」の違い徹底比較

データサイエンスを学んでいる、新卒1年目のUKIです。 2003年:PyPIが誕生 2004年:Distutilsを拡張したsetuptoolsが登場し、付属するeasy_installが生まれたことで、PyPIから直接インストールできるようになる 2008年:pipが誕生し、依存関係の解決やアンインストール ...
マイナビニュース

マルウェアを含む悪意あるパッケージの概要

ESETによるとこれら悪意のあるパッケージは合計1万回以上ダウンロードされており、2023年5月以降は平均して約80回/日の ...
GIGAZINE

Pythonパッケージを管理するPyPIがユーザーのデータをアメリカ司法省 ...

PythonパッケージのアップロードプラットフォームであるPython Package Index(PyPI)を運営するPython Software Foundation(PSF)が、2023年3月から4月にかけて、アメリカ司法省からユーザーデータを要求する召喚状を3回発行されたことを明らかにしました。PSFはこの召喚状に ...
Infosecurity-magazine.com

Malicious Machine Learning Model Attack Discovered on PyPI

A new campaign exploiting machine learning (ML) models via the Python Package Index (PyPI) has been observed by cybersecurity researchers. ReversingLabs said threat actors are using the Pickle file ...
Ars Technica

Malware downloaded from PyPI 41,000 times was surprisingly stealthy

PyPI—the open source repository that both large and small organizations use to download code libraries—was hosting 11 malicious packages that were downloaded more than 41,000 times in one of the ...
Ars Technica

Software downloaded 30,000 times from PyPI ransacked developers’ machines

Open source packages downloaded an estimated 30,000 times from the PyPI open source repository contained malicious code that surreptitiously stole credit card data and login credentials and injected ...
TWCN Tech News

How to install NumPy using PIP on Windows 11

NumPy (Numerical Python) is an open-source library for the Python programming language. It is used for scientific computing and working with arrays. Apart from its multidimensional array object, it ...