支付寶安全實驗室發現3款惡意庫,提醒開發者擦亮眼
近日,支付寶天宸實驗室發現在Python官方的第三方庫下載網站上有三款第三方惡意庫。當開發者安裝使用時,可能被安裝惡意程式。
可導致伺服器被控制,洩漏資料、資金損失
作為目前最主流的計算機程式語言,Python被廣泛地應用於社群、遊戲等各大網站、甚至Google、NASA也將Python作為開發語言。
這次發現的惡意庫,取名與幾個常用正常庫的名字非常相近,導致開發者可能誤輸入下載安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫,同時攻擊者啟用命令和控制伺服器和惡意程式下載連結,就可以完全控制受害者的電腦及伺服器。可能帶來開發者伺服器上的資料隱私洩露,也可能進一步造成使用者資金損失。
目前,Python官方的第三方庫下載網站 ()尚未清除這三個惡意庫。
問題發現後,支付寶天宸實驗室第一時間向國家資訊保安漏洞庫(CNNVD)上報,並得到CNNVD官方通報。
支付寶天宸實驗室專家提醒廣大Python開發者:
儘快檢查自己的主機,檢視是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫,及時排查相關引入這三個庫的專案。如有安裝,請立即解除安裝,此外,在下載安裝應用前要注意識別名稱,切勿下載不明三方庫。
防範供應鏈攻擊,保障生態安全
以上威脅就是一種供應鏈攻擊,是駭客利用開發者對供應商產品的信任,透過供應商軟體植入惡意程式進行攻擊的一種方式。
在互聯互通時代,在安全上獨善其身遠遠不夠,合作伙伴和供應商產品的安全缺陷也會威脅到自身,如何保障全鏈路的生態安全也是支付寶安全實驗室關注的方向。支付寶天宸實驗室本次發現是在掃描工具中新增了一種新的供應鏈檢測技術,可以捕捉隱藏在合法程式碼中的異常程式碼片段,從而提前發現風險,同步到相關機構,第一時間警示開發者。
而這種安全檢測技術,僅僅支付寶安全實驗室的眾多研究方向的其中一塊。
據瞭解,支付寶安全實驗室的研究領域覆蓋基礎安全、IoT安全、AI攻防、智慧風控、隱私保護、網路犯罪研究、可信身份識別、行業研究等,提供保障12億支付寶使用者的領先安全科技。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69904796/viewspace-2673055/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- [原創] 騰訊安全雲鼎實驗室:從惡意流量看2018十大網際網路安全趨勢
- Ubuntu Snap Store發現惡意程式Ubuntu
- PyPI程式碼庫又現惡意軟體包,騰訊安全威脅情報已收錄,專家提醒碼農小心供應鏈攻擊
- 江民科技攜手天宇寧達 成立惡意程式碼與取證分析聯合實驗室
- 前Tor開發者為FBI開發反Tor惡意程式
- 惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰Python
- 美創安全實驗室 | Docker逃逸原理Docker
- HarmonyOS 4.0 實況窗上線!支付寶實現醫療場景智慧提醒
- 三大資料庫如何寫入WebShell?|美創安全實驗室大資料資料庫Webshell
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- 俄亥俄州立大學:研究發現惡意開發者仍將Google Play作為攻擊目標Go
- FBI提醒司機:小心針對汽車的惡意軟體攻擊
- 來騰訊雲開發者實驗室 學習.NET Core 2.0
- 伏影實驗室提醒您謹慎開啟疫情地圖郵件地圖
- WireShark駭客發現之旅(3)—Bodisparking惡意程式碼Spark
- 卡巴斯基實驗室:2019年Q1 檢測到905174個惡意安裝包
- 惡意程式碼清除實戰
- NC State University:實驗發現Android 4.2對惡意程式識別率為15% 遠遠低於預期Android
- 支付寶 v3 驗籤如何實現
- 全民發現16000個惡意網路應用程式
- 騰訊釋出雲實驗室、開源開發工具,助力開發者連線 AI 未來AI
- 網路安全實驗室題目(選擇題篇)
- 幾種開發時安全驗證的實現
- 限時滿減優惠?雙11擦亮眼,千萬別掉入這個“大坑”
- 微信提醒使用者:批量惡意註冊賬號可能面臨法律制裁
- 資料庫實驗室挑戰任務-2資料庫
- 微軟釋出《安全情報報告20卷》精簡報告:90%惡意網頁發現於Flash微軟網頁
- 防止獨立IP被其它惡意域名惡意解析
- 微軟成立Azure安全實驗室:最高懸賞30萬美元微軟
- 谷歌向開發者開放惡意軟體攔截工具包谷歌
- 校園實驗室智慧管理系統開發
- 實驗室儀器旋轉蒸發儀指南
- 騰訊移動安全實驗室:2014上半年Android系統手機安全現狀Android
- 騰訊安全玄武實驗室披露多個區塊鏈安全漏洞報告區塊鏈
- 惡意程式造成資料庫啟動報錯資料庫
- 用go實現併發聊天室Go
- iOS12實現完美越獄,阿里安全潘多拉實驗室簡直不要太強大iOS阿里
- 卡巴斯基實驗室指網路犯罪分子通過惡意挖礦軟體在2017年獲利數百萬美元