簡介: 這三款Python三方庫有病毒,請勿安裝使用!
近日,支付寶天宸實驗室發現在Python官方的第三方庫下載網站上有三款第三方惡意庫。當開發者安裝使用時,可能被安裝惡意程序。
roels: https://pypi.org/project/reols(不要下載)
req-tools: https://pypi.org/project/req-tools(不要下載)
dark-magic: https://pypi.org/project/dark-magic (不要下載)
可導致服務器被控制,泄漏數據、資金損失
作爲目前最主流的計算機編程語言,Python被廣泛地應用於社區、遊戲等各大網站、甚至Google、NASA也將Python作爲開發語言。
這次發現的惡意庫,取名與幾個常用正常庫的名字非常相近,導致開發者可能誤輸入下載安裝惡意庫。一旦受害者主機安裝上這三個Python第三方惡意庫,同時攻擊者激活命令和控制服務器和惡意程序下載鏈接,就可以完全控制受害者的電腦及服務器。可能帶來開發者服務器上的數據隱私泄露,也可能進一步造成用戶資金損失。
目前,Python官方的第三方庫下載網站 ( https://pypi.org )尚未清除這三個惡意庫。
問題發現後,支付寶天宸實驗室第一時間向國家信息安全漏洞庫(CNNVD)上報,並得到CNNVD官方通報。
支付寶天宸實驗室專家提醒廣大Python開發者:
儘快檢查自己的主機,查看是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫,及時排查相關引入這三個庫的項目。如有安裝,請立即卸載,此外,在下載安裝應用前要注意識別名稱,切勿下載不明三方庫。
文章進行了部分刪減,完整內容請點擊:https://developer.aliyun.com/article/742004?utm_content=g_1000099393
關鍵詞:人工智能 供應鏈 安全 物聯網安全 數據安全/隱私保護 開發者 Python
