近日定踱,支付寶天宸實驗室發(fā)現(xiàn)在Python官方的第三方庫下載網(wǎng)站上有三款第三方惡意庫。當(dāng)開發(fā)者安裝使用時恃鞋,可能被安裝惡意程序崖媚。
roels:?https://pypi.org/project/reols(不要下載)
req-tools:?https://pypi.org/project/req-tools(不要下載)
dark-magic:?https://pypi.org/project/dark-magic?(不要下載)
可導(dǎo)致服務(wù)器被控制,泄漏數(shù)據(jù)恤浪、資金損失
作為目前最主流的計算機編程語言畅哑,Python被廣泛地應(yīng)用于社區(qū)、游戲等各大網(wǎng)站水由、甚至Google荠呐、NASA也將Python作為開發(fā)語言。
這次發(fā)現(xiàn)的惡意庫砂客,取名與幾個常用正常庫的名字非常相近泥张,導(dǎo)致開發(fā)者可能誤輸入下載安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫鞭盟,同時攻擊者激活命令和控制服務(wù)器和惡意程序下載鏈接圾结,就可以完全控制受害者的電腦及服務(wù)器〕菟撸可能帶來開發(fā)者服務(wù)器上的數(shù)據(jù)隱私泄露筝野,也可能進一步造成用戶資金損失晌姚。
目前,Python官方的第三方庫下載網(wǎng)站 (?https://pypi.org?)尚未清除這三個惡意庫歇竟。
問題發(fā)現(xiàn)后挥唠,支付寶天宸實驗室第一時間向國家信息安全漏洞庫(CNNVD)上報,并得到CNNVD官方通報焕议。
支付寶天宸實驗室專家提醒廣大Python開發(fā)者:
盡快檢查自己的主機宝磨,查看是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫盅安,及時排查相關(guān)引入這三個庫的項目唤锉。如有安裝,請立即卸載别瞭,此外窿祥,在下載安裝應(yīng)用前要注意識別名稱,切勿下載不明三方庫蝙寨。
防范供應(yīng)鏈攻擊晒衩,保障生態(tài)安全
以上威脅就是一種供應(yīng)鏈攻擊,是黑客利用開發(fā)者對供應(yīng)商產(chǎn)品的信任墙歪,通過供應(yīng)商軟件植入惡意程序進行攻擊的一種方式听系。
在互聯(lián)互通時代,在安全上獨善其身遠遠不夠虹菲,合作伙伴和供應(yīng)商產(chǎn)品的安全缺陷也會威脅到自身靠胜,如何保障全鏈路的生態(tài)安全也是支付寶安全實驗室關(guān)注的方向。支付寶天宸實驗室本次發(fā)現(xiàn)是在掃描工具中添加了一種新的供應(yīng)鏈檢測技術(shù)届惋,可以捕捉隱藏在合法代碼中的異常代碼片段髓帽,從而提前發(fā)現(xiàn)風(fēng)險菠赚,同步到相關(guān)機構(gòu)脑豹,第一時間警示開發(fā)者。
而這種安全檢測技術(shù)衡查,僅僅支付寶安全實驗室的眾多研究方向的其中一塊瘩欺。
據(jù)了解,支付寶安全實驗室的研究領(lǐng)域覆蓋基礎(chǔ)安全拌牲、IoT安全俱饿、AI攻防、智能風(fēng)控塌忽、隱私保護拍埠、網(wǎng)絡(luò)犯罪研究、可信身份識別土居、行業(yè)研究等枣购,提供保障12億支付寶用戶的領(lǐng)先安全科技嬉探。
點擊查看? 惡意庫解決方案
