Поиск Dependency Confusion в корпоративном GitLab

[dolfinus]

Но установка и наличие вредоносного пакета в системе еще не приводит к его выполнению.
Это не всегда так.
Например, случае python пакеты бывают нескольких типов — .whl/.egg и .tar.gz. Первый содержит файлы пакета, приготовленные для конкретной архитектуры и версии python, и просто распаковываются в папку с модулями. Второй содержит исходные файлы пакета и скачивается тогда, когда под нужную архитектуру или версию python готовой сборки не нашлось. И при скачивании такого пакета pip запустит находящийся внутри файл setup.py, а т.к. это обычный python скрипт, то фактически он может сделать все, что угодно. Возможности ограничены лишь правами текущего пользователя в ОС.

[true-hero]

Хорошее дополнение!