Да .
Когда вы устанавливаете модули Python через PIP, вы устанавливаете любой код, содержащийся в этих модулях. И обратите внимание, что модули Python позволяют выполнять код не только во время выполнения, но и также во время установки . Чтобы предотвратить это, устанавливайте только двоичные дистрибутивы Python с использованием флага --only-binary :all:. Это позволяет избежать выполнения произвольного кода при установке (исключая setup.py).
В дополнение к этому вы также можете помочь в защите от вредоносных пакетов:
- Установка пакетов с локальнымпользователь, использующий флаг
--user. - И устанавливающий пакеты в режиме проверки хеша, используя флаг
--require-hashes.