Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/pypi-bersagli-di-un-attacco-malware-registrazioni-sospese-per-ripulire-la-piattaforma_125745.html

L'episodio serve da monito agli sviluppatori che utilizzano componenti open source nei loro progetti: fondamentale verificare l'autenticità del codice scaricato

Click sul link per visualizzare la notizia.

Oltre a questo, non aiuta che copilot ed altri strumenti basati su LLM spesso "allucinano" nomi di moduli e librerie simili a quelli "reali" che si dovrebbero usare.
Così c'è chi crea e registra software per npm, PyPI, ecc. usando i nomi "allucinati" e che funzionalmente sono una copia di quelli reali ma con l'aggiunta di malware. :ciapet:

Come avevo profetizzato :sofico: gli attuali sistemi basati su LLM fanno disastri quando usati da gente che li scambia per oracoli e/o non ha chiare le nuove superfici di attacco che rendono accessibili anche ai blackhat wannabe.