近日，支付寶天宸實驗室發現在Python官方的第三方庫下載網站上有三款第三方惡意庫。當開發者安裝使用時，可能被安裝惡意程式。

roels：  https://pypi.org/project/reols   （不要下載）

req-tools：  https://pypi.org/project/req-tools   （不要下載）

dark-magic：  https://pypi.org/project/dark-magic  （不要下載）

可導致伺服器被控制，洩漏資料、資金損失

作為目前最主流的計算機程式語言，Python被廣泛地應用於社群、遊戲等各大網站、甚至Google、NASA也將Python作為開發語言。

這次發現的惡意庫，取名與幾個常用正常庫的名字非常相近，導致開發者可能誤輸入下載安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫，同時攻擊者啟用命令和控制伺服器和惡意程式下載連結，就可以完全控制受害者的電腦及伺服器。可能帶來開發者伺服器上的資料隱私洩露，也可能進一步造成使用者資金損失。

目前，Python官方的第三方庫下載網站 （https://pypi.org）尚未清除這三個惡意庫。

問題發現後，支付寶天宸實驗室第一時間向國家資訊保安漏洞庫（CNNVD）上報，並得到CNNVD官方通報。

支付寶天宸實驗室專家提醒廣大Python開發者：

儘快檢查自己的主機，檢視是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫，及時排查相關引入這三個庫的專案。如有安裝，請立即解除安裝，此外，在下載安裝應用前要注意識別名稱，切勿下載不明三方庫。

防範供應鏈攻擊，保障生態安全

以上威脅就是一種供應鏈攻擊，是黑客利用開發者對供應商產品的信任，通過供應商軟體植入惡意程式進行攻擊的一種方式。

在互聯互通時代，在安全上獨善其身遠遠不夠，合作伙伴和供應商產品的安全缺陷也會威脅到自身，如何保障全鏈路的生態安全也是支付寶安全實驗室關注的方向。支付寶天宸實驗室本次發現是在掃描工具中新增了一種新的供應鏈檢測技術，可以捕捉隱藏在合法程式碼中的異常程式碼片段，從而提前發現風險，同步到相關機構，第一時間警示開發者。

而這種安全檢測技術，僅僅支付寶安全實驗室的眾多研究方向的其中一塊。

據瞭解，支付寶安全實驗室的研究領域覆蓋基礎安全、IoT安全、AI攻防、智慧風控、隱私保護、網路犯罪研究、可信身份識別、行業研究等，提供保障12億支付寶使用者的領先安全科技。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/69904796/viewspace-2673055/，如需轉載，請註明出處，否則將追究法律責任。