近日，支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时，可能被安装恶意程序。

roels： https://pypi.org/project/reols（不要下载）

req-tools： https://pypi.org/project/req-tools（不要下载）

dark-magic： https://pypi.org/project/dark-magic （不要下载）

可导致服务器被控制，泄漏数据、资金损失

作为目前最主流的计算机编程语言，Python被广泛地应用于社区、游戏等各大网站、甚至Google、NASA也将Python作为开发语言。

这次发现的恶意库，取名与几个常用正常库的名字非常相近，导致开发者可能误输入下载安装恶意库。一旦受害者主机安装上这三个Python第三方恶意库，同时攻击者激活命令和控制服务器和恶意程序下载链接，就可以完全控制受害者的电脑及服务器。可能带来开发者服务器上的数据隐私泄露，也可能进一步造成用户资金损失。

目前，Python官方的第三方库下载网站 （ https://pypi.org ）尚未清除这三个恶意库。

问题发现后，支付宝天宸实验室第一时间向国家信息安全漏洞库（CNNVD）上报，并得到CNNVD官方通报。

支付宝天宸实验室专家提醒广大Python开发者：

尽快检查自己的主机，查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库，及时排查相关引入这三个库的项目。如有安装，请立即卸载，此外，在下载安装应用前要注意识别名称，切勿下载不明三方库。

防范供应链攻击，保障生态安全

以上威胁就是一种供应链攻击，是黑客利用开发者对供应商产品的信任，通过供应商软件植入恶意程序进行攻击的一种方式。

在互联互通时代，在安全上独善其身远远不够，合作伙伴和供应商产品的安全缺陷也会威胁到自身，如何保障全链路的生态安全也是支付宝安全实验室关注的方向。支付宝天宸实验室本次发现是在扫描工具中添加了一种新的供应链检测技术，可以捕捉隐藏在合法代码中的异常代码片段，从而提前发现风险，同步到相关机构，第一时间警示开发者。

而这种安全检测技术，仅仅支付宝安全实验室的众多研究方向的其中一块。

据了解，支付宝安全实验室的研究领域覆盖基础安全、IoT安全、AI攻防、智能风控、隐私保护、网络犯罪研究、可信身份识别、行业研究等，提供保障12亿支付宝用户的领先安全科技。