Selon une société de sécurité slovaque, du code malicieux a été introduit dans des modules Python, sur le dépôt officiel PyPI.

Les pirates (ou les farceurs) ont pris des modules Python et les ont modifiés de façon très rudimentaire : le code des modules reste identique, mais leurs script d'installation ont été 'customisés'.

Là où il y avait possibilité de mettre du code vraiment malicieux, les pirates se sont contentés de mettre un code bénin qui se limite à envoyer sur un serveur distant le nom d'hôte et le nom de l'utilisateur qui installe le paquet, accompagné du nom et de la version de ce dernier. Voici ce code :

Peut-être une simple expérimentation en attendant de faire quelque chose de plus méchant ?

Les modules Python d'origine sont intacts sur PyPI. Les modules customisés ont simplement été placés dans le dépôt sous des noms voisins pouvant induire en erreur. Par exemple urllib ou urlib3 au lieu de urllib3 ou bzip au lieu de bzip2. Ce qui semble suffisant pour faire des victimes.