Scripts legados do Python abrem PyPI a ataque por domínio
Pesquisadores da Reversinglabs identificaram que scripts de bootstrap legados (zc.buildout) em vários projetos Python fazem download direto de python-distribute[.]org — domínio abandonado desde 2014 — e executam o conteúdo com exec(), abrindo um vetor de supply chain que afeta pacotes como slapos.core, pypiserver e tornado. A falha exige execução manual ou via build e não é acionada por pip install padrão.