Злоумышленники в своем стремлении протроянить разработчиков могут использовать разные методы, такие как создание пакетов с ошибками в названиях (rquests, request) в надежде, что человек опечатается при установке, копирование описания оригинального пакета, а также подкрутка репутации добавлением нескольких десятков тысяч звёзд на страницу своего проекта буквально в пару кликов ---без регистрации и смс---.

Последнее явление мы и разберем: как обнаружить подделку рейтинга, каким образом злоумышленник осуществляет накрутку звёзд, какие угрозы могут скрываться под красивыми рейтингами и почему даже безобидные пакеты нередко случайно получают завышенную репутацию. Кроме того, мы рассмотрим методы автоматического обнаружения таких аномалий.