Bösartige Pakete sind im Python Paket Index (pypi) vorhanden.
Bei der Installation eines neuen Paketes muss genau auf die Rechtschreibung des Paketnamens geachtet werden. Bösartige Pakete tarnen sich mit Hilfe von leicht zu verwechselnden Paketnamen (z.B. urllib3 vs. urlib3). Bis jetzt haben die pypi-Entwickler noch nicht auf das Problem reagiert. Aus diesem Grund wird dieses Sicherheitsproblem bis auf weiteres vorhanden bleiben.
pypi findet vor allem in kleineren RaspberryPi Projekten Anwendung.
Quelle: golem.de