支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼

近日,支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时,可能被安装恶意程序。
这三个恶意库的链接如下:
roels: https://pypi.org/project/reols(不要下载)
req-tools: https://pypi.org/project/req-...(不要下载)
dark-magic: https://pypi.org/project/dark...(不要下载)

可导致服务器被控制,泄漏数据、资金损失

作为目前最主流的计算机编程语言,Python被广泛地应用于社区、游戏等各大网站、甚至Google、NASA也将Python作为开发语言。
这次发现的恶意库,取名与几个常用正常库的名字非常相近,导致开发者可能误输入下载安装恶意库。一旦受害者主机安装上这三个Python第三方恶意库,同时攻击者激活命令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑及服务器。可能带来开发者服务器上的数据隐私泄露,也可能进一步造成用户资金损失。
目前,Python官方的第三方库下载网站(https://pypi.org)尚未清除这三个恶意库。
问题发现后,支付宝天宸实验室第一时间向国家信息安全漏洞库(CNNVD)上报,并得到CNNVD官方通报。

image001.png

支付宝天宸实验室专家提醒广大Python开发者:
尽快检查自己的主机,查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库,及时排查相关引入这三个库的项目。如有安装,请立即卸载,此外,在下载安装应用前要注意识别名称,切勿下载不明三方库。

防范供应链攻击,保障生态安全
以上威胁就是一种供应链攻击,是黑客利用开发者对供应商产品的信任,通过供应商软件植入恶意程序进行攻击的一种方式。
在互联互通时代,在安全上独善其身远远不够,合作伙伴和供应商产品的安全缺陷也会威胁到自身,如何保障全链路的生态安全也是支付宝安全实验室关注的方向。支付宝天宸实验室本次发现是在扫描工具中添加了一种新的供应链检测技术,可以捕捉隐藏在合法代码中的异常代码片段,从而提前发现风险,同步到相关机构,第一时间警示开发者。
而这种安全检测技术,仅仅支付宝安全实验室的众多研究方向的其中一块。
image003.jpg

据了解,支付宝安全实验室的研究领域覆盖基础安全、IoT安全、AI攻防、智能风控、隐私保护、网络犯罪研究、可信身份识别、行业研究等,提供保障12亿支付宝用户的领先安全科技。

Image placeholder
sashinkas
未设置
  24人点赞

没有讨论,发表一下自己的看法吧

推荐文章
美埃默里大学华人实验室突遭关闭,两华人教授及部分中国雇员被强制遣返

大数据文摘出品作者:魏子敏、宋欣仪据美《科学》杂志报道,佐治亚州亚特兰大的埃默里大学(EmoryUniversity)突然关闭了知名华人生物学家李晓江和李世华教授夫妇的实验室。22日,埃默里大学解雇了

我哪里配置错误,为什么每次都无法正常跳转到支付宝的支付界面?

我每次学这套课程,都卡在这里,过不去。心里好难受~ 以下是我的配置整个过程:以下命令都执行过了。phpartisantinker phpartisanconfig:clear >>>config('p

第三方支付 : 概述、起源 | PayPal 和支付宝 的诞生的故事

说起第三方支付,好像大家都知道,天天不是用支付宝和微信吗?支付宝和微信支付确实是行业内非常具有代表的第三方支付公司,但现在他们已经不完全是一家第三方支付公司,都可以称为金融集团。其实第三方支付,远远不

Fortinet的云安全观:上云≠安全 云安全市场或迎“又一春”!

近年来网络攻击事件频繁发生,企业对于网络安全的关注度已经到达前所未有的高度,如何保证业务的正常运转是每个企业最为关注的问题之一。而随着越来越多的企业将业务扩展到云端,云上安全问题也成为企业必谈的话题!

打好网络安全攻坚战 思科年度安全报告系列关注未知安全挑战

当网络攻击愈演愈烈,当勒索软件愈加嚣张,企业对于网络安全的重视程度稳步提升。网络安全在企业中的地位从没像今天这般高涨。但不可否认的是,即便企业提升了对网络安全的防护,但网络安全威胁依旧长期存在且愈加复

从十万份开发者调查报告中,发现了这些信息

StackOverflow是一个面向程序员的技术问答网站,每年都会进行一次开发者问卷调查。本次收集了10万名开发者的调查问卷,分别对程序员的工作状况、开发语言、工具以及生活习惯等做了调查。参与调查的开

假如有人把支付宝存储服务器炸了

昨天微信支付出了点问题,今天在知乎看到了一个问题《假如有人把支付宝存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?》外行人问题。网站都是有服务器的,服务器都是有实体的。那么支付宝的

支付宝芮雄文:用科技的力量,让天下无贼

众所周知,中国用户对移动支付的使用在全球来讲可以说是遥遥领先,无论是线上交易还是线下交易都对移动支付有着很强的依赖,而支付宝作为最主要的移动支付工具也广被大家使用。不少人认为,当移动支付替代了传统货币

万字长文|1分36秒,100亿,支付宝技术双11答卷:没有不可能

2019年双11来了。1分36秒100亿,5分25秒超过300亿,12分49秒超500亿……如果没有双11,中国的互联网技术要发展到今天的水平,或许要再多花20年。从双11诞生至今的11年里,有一个场

阿里支付宝架构师:谈谈我眼中的高并发架构【好文】

来源:my.oschina.net/u/3772106/blog/1793561前言高并发经常会发生在有大活跃用户量,用户高聚集的业务场景中,如:秒杀活动,定时领取红包等。为了让业务可以流畅的运行并且

2019年度总结:支付宝为何多次亮相各大国际顶会

2019年,是人工智能与机器学习技术快速发展的一年。对于蚂蚁金服而言,过去一年的人工智能技术、产品、解决方案及研究成果已经在NeurIPS、KDD、ICML、SIGMOD、SIGIR等各大国际顶会上陆

支付中台的几个面向:支付业务、资金核算、面向风控等切面

手哥架构宝典之支付系统1.0发布后,很多架构师朋友表示受益匪浅,询问支付系统2.0版本什么时候放出来,今天刊发出《架构宝典》支付系统2.0版本,以飨读者。00 概述在1.0的支付系统中,我们遇到了诸多

PHP 安全问题入门:10 个常见安全问题 + 实例讲解

相对于其他几种语言来说,PHP在web建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的PHP教程没有涉及到安全方面的知识。 此帖子分为几部分

[PHP 安全] OWASP 维护的 PHP 安全配置速查表

介绍 这个页面的目的是为了帮助那些配置PHP和运行它的web服务器的人确保它的安全性。 下面你将找到有关php.ini文件的正确配置信息。 php.ini 下面的一些设置需要适应你的系统,特别是se

梆梆安全:做以结果为导向的安全服务商

作为国内领先的安全服务提供商,梆梆安全不谈概念,始终从基本出发,致力于解决客户的根本性问题。通过运用领先技术提供专业可靠的服务,为全球政府、企业、开发者和消费者打造安全、稳固、可信的安全生态环境,其用

云架构远没想象般安全 派拓网络五大建议助力云安全

当企业业务大量向云端转移,云上安全问题变得愈加严峻,如何保障云端业务的安全成为企业关注的重点问题之一。前不久,网络安全企业PaloAltoNetworks(派拓网络)发布了一份云安全报告,揭示亚太区大

周鸿祎:360回归企业安全 携手安全生态打好网络攻坚战

8月19日,主题为“应对网络战、共建大生态、同筑大安全”的第七届互联网安全大会在北京雁栖湖国际会展中心隆重开幕,来自国内外的百余位专家共同讨论全球网络安全的最新形势,从战略、产业和技术等多个层面,探讨

10分钟,用TensorFlow.js库,训练一个没有感情的“剪刀石头布”识别器

大数据文摘出品编译:Luciana、小七、宁静“剪刀石头布”是我们小时候经常玩的游戏,日常生活中做一些纠结的决策,有时候也常常使用这种规则得出最后的选择,我们人眼能很轻松地认知这些手势,“石头”呈握拳

数据库,主键为何不宜太长长长长长长长长?

回答星球水友提问:沈老师,我听网上说,MySQL数据表,在数据量比较大的情况下,主键不宜过长,是不是这样呢?这又是为什么呢? 这个问题嘛,不能一概而论:(1)如果是InnoDB存储引擎,主键不宜过长;

老焦专栏 | 用 RACI 模式梳理业务流程,提高业务发布的效率

转载本文需注明出处:微信公众号EAWorld,违者必究。最近经常在不同场合说,技术发展已经进入深水区。IT技术发展已经越来越成熟了,尤其在金融行业,以前是解决从无到有的问题,现在该有的系统都有了,是解

硬核盘点,华为面向开发者的十大技术

随着社会的发展,科技的进步,5G落地、AI爆发、大数据持续突破、云计算已然成为新时代的水电煤。日益增多的新兴技术,为开发者带来机遇的同时也带来了不少挑战。尽管开发者们经常身处历史性事件的前沿,但由于

喊话 JavaScript 开发者:玩 DOM 也要专业范儿

别再害怕DOM了,让我们充分挖掘DOM的潜力,你会真的爱上它。 2008年,当我刚成为一名专业Web开发人员参加工作时,我了解一些HTML、CSS和PHP的知识。那时我也在学习JavaScript

程序员常用的15 种开发者工具推荐

  程序员常用的15种开发者工具引荐:Java线上诊断工具Arthas、IDE插件CloudToolkit、混沌实验注入工具ChaosBlade、Java代码规约扫描插件、应用实时监控工具ARMS、静

初级,中级,高级开发者间的区别

初级,中级,高级开发人员不能仅仅通过开发年限来界定,可能存在初级开发人员比一个高级开发人员年龄大的现实。这时候只能依靠掌握的技能来做区分这三者。当然,这并不代表高级开发人员精于一切,但是,的确高级开

开发者为什么不愿意参与开源贡献?不仅是钱的原因

  对企业和开发人员来说,开源贡献具有重要意义。它能帮助企业建立自己的开源标准,同时能够吸引多样化人才,可以帮助开发人员丰富开发经验,提升个人能力。但事实上,如此明显的优势并没有吸引更多的开发人员从事