近日,支付寶天宸實驗室發現在Python官方的第三方庫下載下傳網站上有三款第三方惡意庫。當開發者安裝使用時,可能被安裝惡意程式。
roels:
https://pypi.org/project/reols(不要下載下傳)
req-tools:
https://pypi.org/project/req-tools dark-magic: https://pypi.org/project/dark-magic可導緻伺服器被控制,洩漏資料、資金損失
作為目前最主流的計算機程式設計語言,Python被廣泛地應用于社群、遊戲等各大網站、甚至Google、NASA也将Python作為開發語言。
這次發現的惡意庫,取名與幾個常用正常庫的名字非常相近,導緻開發者可能誤輸入下載下傳安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫,同時攻擊者激活指令和控制伺服器和惡意程式下載下傳連結,就可以完全控制受害者的電腦及伺服器。可能帶來開發者伺服器上的資料隐私洩露,也可能進一步造成使用者資金損失。
目前,Python官方的第三方庫下載下傳網站 (
https://pypi.org)尚未清除這三個惡意庫。
問題發現後,支付寶天宸實驗室第一時間向國家資訊安全漏洞庫(CNNVD)上報,并得到CNNVD官方通報。
支付寶天宸實驗室專家提醒廣大Python開發者:
盡快檢查自己的主機,檢視是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫,及時排查相關引入這三個庫的項目。如有安裝,請立即解除安裝,此外,在下載下傳安裝應用前要注意識别名稱,切勿下載下傳不明三方庫。
防範供應鍊攻擊,保障生态安全
以上威脅就是一種供應鍊攻擊,是黑客利用開發者對供應商産品的信任,通過供應商軟體植入惡意程式進行攻擊的一種方式。
在互聯互通時代,在安全上獨善其身遠遠不夠,合作夥伴和供應商産品的安全缺陷也會威脅到自身,如何保障全鍊路的生态安全也是支付寶安全實驗室關注的方向。支付寶天宸實驗室本次發現是在掃描工具中添加了一種新的供應鍊檢測技術,可以捕捉隐藏在合法代碼中的異常代碼片段,進而提前發現風險,同步到相關機構,第一時間警示開發者。
而這種安全檢測技術,僅僅支付寶安全實驗室的衆多研究方向的其中一塊。
據了解,支付寶安全實驗室的研究領域覆寫基礎安全、IoT安全、AI攻防、智能風控、隐私保護、網絡犯罪研究、可信身份識别、行業研究等,提供保障12億支付寶使用者的領先安全科技。