简介: 这三款Python三方库有病毒,请勿安装使用!
近日,支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时,可能被安装恶意程序。
roels: https://pypi.org/project/reols(不要下载)
req-tools: https://pypi.org/project/req-tools(不要下载)
dark-magic: https://pypi.org/project/dark-magic (不要下载)
可导致服务器被控制,泄漏数据、资金损失
作为目前最主流的计算机编程语言,Python被广泛地应用于社区、游戏等各大网站、甚至Google、NASA也将Python作为开发语言。
这次发现的恶意库,取名与几个常用正常库的名字非常相近,导致开发者可能误输入下载安装恶意库。一旦受害者主机安装上这三个Python第三方恶意库,同时攻击者激活命令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑及服务器。可能带来开发者服务器上的数据隐私泄露,也可能进一步造成用户资金损失。
目前,Python官方的第三方库下载网站 ( https://pypi.org )尚未清除这三个恶意库。
问题发现后,支付宝天宸实验室第一时间向国家信息安全漏洞库(CNNVD)上报,并得到CNNVD官方通报。
支付宝天宸实验室专家提醒广大Python开发者:
尽快检查自己的主机,查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库,及时排查相关引入这三个库的项目。如有安装,请立即卸载,此外,在下载安装应用前要注意识别名称,切勿下载不明三方库。
文章进行了部分删减,完整内容请点击:https://developer.aliyun.com/article/742028?utm_content=g_1000099389
关键词:人工智能 供应链 安全 物联网安全 数据安全/隐私保护 开发者 Python