GitHubに大量の悪質リポジトリ、その数“10万超”　感染するとパスワード流出の恐れ

フォークに埋め込まれるのは悪質

スター数然り使う側の目利きも重要
開発者版、嘘を嘘と見抜けない人は...の世界に入ってしまいましたね

なんとなく面白そうなリポジトリをクローンしてREADME通りにとりあえず実行してみる、というのは一定以上のリテラシーを持ったエンジニアでもやりかねないですね。

PyPlの件が話題になった際は、普通に気をつけていれば直接やばそうなパッケージをインストールすることはないだろうと思っていましたが、そういったパッケージが一見問題なさそうなリポジトリに仕込まれているのは意識を改めないといけないように感じました。

えっ
怖すぎ