支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼

简介: 这三款Python三方库有病毒,请勿安装使用!

近日,支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时,可能被安装恶意程序。

roels: https://pypi.org/project/reols(不要下载)

req-tools: https://pypi.org/project/req-tools(不要下载)

dark-magic: https://pypi.org/project/dark-magic (不要下载)

可导致服务器被控制,泄漏数据、资金损失

作为目前最主流的计算机编程语言,Python被广泛地应用于社区、游戏等各大网站、甚至Google、NASA也将Python作为开发语言。

这次发现的恶意库,取名与几个常用正常库的名字非常相近,导致开发者可能误输入下载安装恶意库。一旦受害者主机安装上这三个Python第三方恶意库,同时攻击者激活命令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑及服务器。可能带来开发者服务器上的数据隐私泄露,也可能进一步造成用户资金损失。

目前,Python官方的第三方库下载网站 ( https://pypi.org )尚未清除这三个恶意库。

问题发现后,支付宝天宸实验室第一时间向国家信息安全漏洞库(CNNVD)上报,并得到CNNVD官方通报。

支付宝天宸实验室专家提醒广大Python开发者:

尽快检查自己的主机,查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库,及时排查相关引入这三个库的项目。如有安装,请立即卸载,此外,在下载安装应用前要注意识别名称,切勿下载不明三方库。

防范供应链攻击,保障生态安全

以上威胁就是一种供应链攻击,是黑客利用开发者对供应商产品的信任,通过供应商软件植入恶意程序进行攻击的一种方式。

在互联互通时代,在安全上独善其身远远不够,合作伙伴和供应商产品的安全缺陷也会威胁到自身,如何保障全链路的生态安全也是支付宝安全实验室关注的方向。支付宝天宸实验室本次发现是在扫描工具中添加了一种新的供应链检测技术,可以捕捉隐藏在合法代码中的异常代码片段,从而提前发现风险,同步到相关机构,第一时间警示开发者。

而这种安全检测技术,仅仅支付宝安全实验室的众多研究方向的其中一块。

据了解,支付宝安全实验室的研究领域覆盖基础安全、IoT安全、AI攻防、智能风控、隐私保护、网络犯罪研究、可信身份识别、行业研究等,提供保障12亿支付宝用户的领先安全科技。

相关文章
|
安全 前端开发 数据安全/隐私保护
企业如何借助码匠,实现员工核酸提醒?
众所周知,疫情当前,常态化核酸是我们必须遵守的防疫政策,因此码匠搭建了一个核酸提醒应用。
430 0
企业如何借助码匠,实现员工核酸提醒?
|
小程序
微信这项功能太流氓了!
经过10年的发展,微信已经成了名副其实的国民应用。 无论是大人小孩,从事何种职业,微信已经成为了手机必备软件。
微信这项功能太流氓了!
|
安全
阿里安全实验室发现“微信克隆漏洞”:可操控微信钱包窃取隐私信息,腾讯推文致谢
只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。
3828 0
工信部提醒消费者谨防手机预置恶意插件
 工业和信息化部有关负责人23日透露,据用户申诉反映,近期部分手机内置信息服务业务不规范,甚至被预置了恶意插件,导致用户在不知情的情况下产生信息费,此问题在未获得电信设备进网证的手机上尤为突出。 这位负责人表示,工信部在加强管理打击违规的同时,提醒广大消费者在购买手机时,要选择经正当途径销售并有合法进网手续的产品,防止自身合法权益受到侵害。
643 0
|
安全
游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
2786 0
|
安全 网络安全 数据库
游戏安全资讯精选 2017年第十三期 Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长
Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长
1961 0
|
安全 测试技术 Android开发
三分钟创建一个自己的移动黑客平台
本文讲的是三分钟创建一个自己的移动黑客平台,许多朋友都希望黑客平台可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行黑客创意开发。
2752 0
|
云安全 安全 Windows
游戏安全资讯精选 2017年 第八期:从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门
从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门
2126 0
|
安全 测试技术 开发工具
“钓鱼”插件实战:看我如何让粗心开发者的编辑器自动变身远控
本文讲的是“钓鱼”插件实战:看我如何让粗心开发者的编辑器自动变身远控,在这篇文章中,我们将探讨如何通过利用编辑器中的插件来攻击开发人员。因此,我们将研究Atom插件的工作原理及安全性。
1691 0