The Hacker Newsは9月2日(米国時間)、「Warning: PyPI Feature Executes Code Automatically After Python Package Download」において、3分の1近くのPyPI (Python Package Index)パッケージがダウンロードされた時点で自動的にコードを実行すると伝えた。この機能が悪用された場合、開発者がサプライチェーン攻撃にさらされる危険性がある。 Checkmarxのセキュリティ研究者であるYehuda Gelb氏の調査によって、Pythonパッケージのダウンロード後に自動的にコードを実行する機能がPyPIにあることがわかった。既知の悪意のあるパッケージの多くが、より高い感染率を達成するためにこの機能を使用しているとし、警戒が必要と述べられている。 Pythonパッケージのインストール方法の一つ
![PyPIダウンロード時にコード実行する機能、犯罪に悪用される恐れ](https://cdn-ak-scissors.b.st-hatena.com/image/square/da61723910e75ef3c58961c12beaa114975975f4/height=288;version=1;width=512/https%3A%2F%2Fnews.mynavi.jp%2Ftechplus%2Farticle%2F20220904-2445274%2Fogp_images%2Fogp.jpg)