Eu tinha visto recentemente alguém falando sobre isso e desde então eu prefiro sempre ir na documentacão oficial ou no pypi para verificar o nome do módulo ou pacote. Claro que não é muito prático, mas é muito melhor que arriscar ter um malware no seu projeto.
É exatamente oq eu tenho feito também kkkkkkk
E, inclusive, fica o adendo
⛔ Adendo ao artigo
É preciso também tomar muito cuidado ao copiar e colar comandos, uma vez que é possível inserir erros imperceptíveis (imperceptíveis de verdade).
Por exemplo, recentemente houve um caso com o módulo JeIlyfish. Digitando, você iria inserir corretamente, mas se só copiasse e colasse vc corria o alto risco de não perceber que a grafia do que acabei de escrever está incorreta, pq a grafia correta é pip install jellyfish.
Se você reparar atentamente, a "pegadinha" é que no módulo com Malware vc não vê um duplo L no "jelly", e sim um i maiusculo seguido por um L.
Compare você mesmo:
pip install jeIlyfishpip install jellyfish
Sacou a problemática? Kkkkkk E tem mais, uma pessoa mal-intencionada vai, sim, utilizar uma fonte que dificulte ainda mais que você perceba o que tá copiando, infelizmente. 😢
Minha última consideração
Esse "typo-squatting" (termo que a galera dá pra essa prática maliciosa) provavelmente acontece em outras linguagens também, então é realmente importante ter uma visão ativa sobre essa etapa — tão simples, mas ainda tão importante — num contexto geral, mesmo, e não só em Python.