支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼

简介: 这三款Python三方库有病毒,请勿安装使用!

近日,支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时,可能被安装恶意程序。

roels: https://pypi.org/project/reols(不要下载)

req-tools: https://pypi.org/project/req-tools(不要下载)

dark-magic: https://pypi.org/project/dark-magic (不要下载)

可导致服务器被控制,泄漏数据、资金损失

作为目前最主流的计算机编程语言,Python被广泛地应用于社区、游戏等各大网站、甚至Google、NASA也将Python作为开发语言。

这次发现的恶意库,取名与几个常用正常库的名字非常相近,导致开发者可能误输入下载安装恶意库。一旦受害者主机安装上这三个Python第三方恶意库,同时攻击者激活命令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑及服务器。可能带来开发者服务器上的数据隐私泄露,也可能进一步造成用户资金损失。

目前,Python官方的第三方库下载网站 ( https://pypi.org )尚未清除这三个恶意库。

问题发现后,支付宝天宸实验室第一时间向国家信息安全漏洞库(CNNVD)上报,并得到CNNVD官方通报。

支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼_第1张图片

 

支付宝天宸实验室专家提醒广大Python开发者:

尽快检查自己的主机,查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库,及时排查相关引入这三个库的项目。如有安装,请立即卸载,此外,在下载安装应用前要注意识别名称,切勿下载不明三方库。

文章进行了部分删减,完整内容请点击:https://developer.aliyun.com/article/742004?utm_content=g_1000099393

关键词:人工智能 供应链 安全 物联网安全 数据安全/隐私保护 开发者 Python

你可能感兴趣的:(程序员)