Эксплуатация созвучности имён пакетов на PyPI продолжается: python3-dateutil, jeilyfish

О том, что нужно быть бдительными, в том числе на PyPI.

На днях на PyPI в очередной раз были обнаружены вредоносные пакеты, имена которых мимикрируют под имена популярных пакетов. Так, например, python3-dateutil, пользуясь тем, что во многих дистрибутивах ОС Linux так называется вполне легитимный пакет, поселившись на PyPI, выдавал себя за оригинальный dateutil, известный на PyPI под именем python-dateutil.