以后使用Python的`pip install`命令的时候要小心了

有人往PyPI上传了一些和标准库的名字很类似的模块。这些模块代码和标准库的相同，不过在 installation script 包含了一些"malicious (but relatively benign) code."

文末有PyPI的官方申明，其中提到了他们并没有全职员工来维护，所以就算要解决这个问题估计也要很久。推荐听听Episode #64: Inside the Python Package Index来了解下PyPI背后的故事。

那如何避免呢。。。

我无法理解你的问题

yuanlaile 4楼作者

完全按照官方的安装步骤来

这个问题确实有些麻烦

yuanlaile 6楼作者

记得有人这样钓过鱼，还分析了一下

这些人太招人烦，又咬人又膈应人

还有一种 pip 投毒,也很恶心

坑啊，只能小心点从官方复制粘贴了自己打字都瑟瑟发抖

还有一种 pip 投毒,也很恶心

系统上能管理包的只有发行版自带的包管理器，其他的什么 npm，pip 一律都不给 root，Python 的搞 virtualenv，装死了也不怕（・∀・）

确实遇到过记错包名字的情况，比如多个 s

此外，如果写篇教程故意打错包名…… 细思极恐。

生产环境的都统一做成 deb，放进自己的源的

npm -g 必须 sudo 吧

执行个rm -rf /

非要 global 安装那就没办法了。。我宁愿多装几次占点空间也不愿意让有 root 权限的包管理器超过两个。。

你来吧，搞完了记得手机拍个照(　･ิω･ิ)

emmm 最近刚看到 rust 瞬间修复了 crates.io 的包隐含恶意代码的信息

这居然修不好了

不用啊随便安在个什么地方就可以

我倒是想问下 Linux 的包管理能在 non-root 模式下将程序安装在用户 home 目录中么？