> > В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов

Там причём скорей всего и трояны, и "оставленные в коде секреты" в каких нибудь разовых поделках новичков, которыми никто не пользуется. Ну а "секреты" это небось логин/пароль от демо админки, например? Ой ужас-ужас )) К чему исследование не понятно, на то он и репозиторий без премодерации, как и многие другие, взять хоть тот же Гитхаб и его аналоги. Какое-то нагнетание хейта в отношении PyPI, не первый раз встречаю уже. Ещё было в отношении npm.