Современный код тянет за собой много зависимостей, и мало кто задумывается о последствиях. Python, Node.js, Go, Rust — скачать чужой код и запустить его теперь считается нормой. Последние громкие случаи с node‑ipc, CTX заставляют задуматься: а что вообще творится в чужих репозиториях, которыми мы пользуемся?

В этом докладе спикеры расскажут, как делали систему для поиска вредоносных изменений в пакетах из npm и PyPI, с какими трудностями встретились в процессе. Расскажут о полученных результатах и разберут последние находки.