近日,支付寶天宸實驗室發現在Python官方的第三方庫下載網站上有三款第三方惡意庫。當開發者安裝使用時,可能被安裝惡意程序。
roels: https://pypi.org/project/reols (不要下載)
req-tools: https://pypi.org/project/req-tools (不要下載)
dark-magic: https://pypi.org/project/dark-magic (不要下載)
可導致服務器被控制,泄漏數據、資金損失
作爲目前最主流的計算機編程語言,Python被廣泛地應用於社區、遊戲等各大網站、甚至Google、NASA也將Python作爲開發語言。
這次發現的惡意庫,取名與幾個常用正常庫的名字非常相近,導致開發者可能誤輸入下載安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫,同時***者激活命令和控制服務器和惡意程序下載鏈接,就可以完全控制受害者的電腦及服務器。可能帶來開發者服務器上的數據隱私泄露,也可能進一步造成用戶資金損失。
目前,Python官方的第三方庫下載網站(https://pypi.org)尚未清除這三個惡意庫。
問題發現後,支付寶天宸實驗室第一時間向國家信息安全漏洞庫(CNNVD)上報,並得到CNNVD官方通報。
支付寶天宸實驗室專家提醒廣大Python開發者:
儘快檢查自己的主機,查看是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫,及時排查相關引入這三個庫的項目。如有安裝,請立即卸載,此外,在下載安裝應用前要注意識別名稱,切勿下載不明三方庫。
防範供應鏈***,保障生態安全
以上威脅就是一種供應鏈***,是***利用開發者對供應商產品的信任,通過供應商軟件植入惡意程序進行***的一種方式。
在互聯互通時代,在安全上獨善其身遠遠不夠,合作伙伴和供應商產品的安全缺陷也會威脅到自身,如何保障全鏈路的生態安全也是支付寶安全實驗室關注的方向。支付寶天宸實驗室本次發現是在掃描工具中添加了一種新的供應鏈檢測技術,可以捕捉隱藏在合法代碼中的異常代碼片段,從而提前發現風險,同步到相關機構,第一時間警示開發者。
而這種安全檢測技術,僅僅支付寶安全實驗室的衆多研究方向的其中一塊。
據瞭解,支付寶安全實驗室的研究領域覆蓋基礎安全、IoT安全、AI***、智能風控、隱私保護、網絡犯罪研究、可信身份識別、行業研究等,提供保障12億支付寶用戶的領先安全科技。