近日,支付宝天辰实验室在Python官方第三方库下载网站上发现了三个第三方恶意库。开发者在安装使用时,可能会安装恶意程序。roels:https://pypi.org/project/reols(请勿下载)req-tools:https://pypi.org/project/req-tools(请勿下载)dark-magic:https://pypi.org/project/dark-magic(请勿下载)可能导致服务器控制、数据泄露和财务损失。Python作为最主流的计算机编程语言,广泛应用于社区、游戏等各大网站,甚至Google和NASA也将Python作为开发语言。此次发现的恶意库名称与几个常用的正常库名称非常相似,可能会导致开发者误下载安装恶意库。一旦受害者主机安装了这三个Python第三方恶意库,攻击者激活命令控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑和服务器。可能导致开发者服务器数据隐私泄露,进而可能造成用户资金损失。目前,Python官方第三方库下载网站(https://pypi.org)并未清除这三个恶意库。发现问题后,支付宝天辰实验室第一时间上报国家信息安全漏洞库(CNNVD),并得到CNNVD的正式通报。支付宝天辰实验室专家提醒Python开发者:尽快检查自己的主机,查看是否安装了roels、req-tools、dark-magic这三个Python第三方恶意库,并及时检查引入这些的相关项目三个图书馆。如果已安装,请立即卸载。另外,在下载安装应用前注意识别名称,不要下载不明的第三方库。防范供应链攻击,保障生态安全以上威胁属于供应链攻击的一种,是黑客利用开发者对供应商产品的信任,通过供应商软件植入恶意程序进行攻击的一种方式。在互联互通的时代,安全上单打独斗是不够的。合作伙伴和供应商产品的安全漏洞也会对自身造成威胁。如何保障全链路的生态安全也是支付宝安全实验室关注的方向。支付宝天辰实验室此次的发现是,在扫描工具中加入了全新的供应链检测技术,可以捕捉到隐藏在合法代码中的异常代码片段,从而提前发现风险,与相关机构同步,第一时间预警开发商。而这种安全检测技术只是支付宝安全实验室众多研究方向之一。据了解,支付宝安全实验室的研究领域涵盖基础安全、物联网安全、AI攻防、智能风控、隐私保护、网络犯罪研究、可信识别、行业研究等,提供领先的安全技术,为12亿人保驾护航支付宝用户。
