El repositorio oficial de paquetes de software PyPI Python está siendo atacado por actores de amenazas que han comenzado a inundarlo con paquetes de spam, según un nuevo informe de BleepingComputer. Estos paquetes de spam utilizan un estilo de nomenclatura que se asocia comúnmente con torrents y otro contenido pirateado en línea donde el nombre de cada paquete contiene el título de una película, el año actual y las palabras en línea y gratis como este "watch-army-of- the-dead -2021-full-online-movie-free-hd-quality ”. El ingeniero de software senior de Sonatype, Adam Boesch, descubrió por primera vez estos paquetes sospechosos cuando encontró un componente de PyPI que lleva el nombre de un popular programa de televisión. Boesch proporcionó información adicional sobre su descubrimiento en una entrevista con BleepingComputer, diciendo: "Estaba navegando por el conjunto de datos y noté 'wandavision', que es un poco extraño para el nombre de un paquete. Tras una inspección más cercana, encontré este paquete y lo obtuve. Busqué PyPI porque no lo creía. Esto no es infrecuente en otros ecosistemas como npm, donde hay millones de paquetes. Afortunadamente, paquetes como estos son bastante fáciles de detectar y evitar ".