Человек провел простое исследование - напихал в хранилище кучу своих модулей с именами похожими на имена популярных пакетов (например вместо requets, reqeusts) поместил внутрь простой код для отправки себе данных об установке (IP, операционная система, права пользователя, время установки). И о боже! Урожай был потрясающий. Множество пользователей поставило модули с правами администратора, даже на доменах .gov (домены госорганизаций США).
О чем это говорит? Соблюдай осторожность! PyPI кажется безопасным, но это не так. Любой может положить туда свой модуль - его никто не проверит.
Узнал из статьи
Тайпосквоттинг в репозиториях Python, Node.JS и Ruby