近日，支付寶天宸實(shí)驗(yàn)室發(fā)現(xiàn)在Python官方的第三方庫下載網(wǎng)站上有三款第三方惡意庫。當(dāng)開發(fā)者安裝使用時，可能被安裝惡意程序。

roels：?https://pypi.org/project/reols（不要下載）

req-tools：?https://pypi.org/project/req-tools（不要下載）

dark-magic：?https://pypi.org/project/dark-magic?（不要下載）

可導(dǎo)致服務(wù)器被控制，泄漏數(shù)據(jù)、資金損失

作為目前最主流的計(jì)算機(jī)編程語言，Python被廣泛地應(yīng)用于社區(qū)、游戲等各大網(wǎng)站、甚至Google、NASA也將Python作為開發(fā)語言。

這次發(fā)現(xiàn)的惡意庫，取名與幾個常用正常庫的名字非常相近，導(dǎo)致開發(fā)者可能誤輸入下載安裝惡意庫。一旦受害者主機(jī)安裝上這三個Python第三方惡意庫，同時攻擊者激活命令和控制服務(wù)器和惡意程序下載鏈接，就可以完全控制受害者的電腦及服務(wù)器?？赡軒黹_發(fā)者服務(wù)器上的數(shù)據(jù)隱私泄露，也可能進(jìn)一步造成用戶資金損失。

目前，Python官方的第三方庫下載網(wǎng)站 （?https://pypi.org?）尚未清除這三個惡意庫。

問題發(fā)現(xiàn)后，支付寶天宸實(shí)驗(yàn)室第一時間向國家信息安全漏洞庫（CNNVD）上報(bào)，并得到CNNVD官方通報(bào)。

支付寶天宸實(shí)驗(yàn)室專家提醒廣大Python開發(fā)者：

盡快檢查自己的主機(jī)，查看是否安裝過roels、req-tools和dark-magic這三個Python第三方惡意庫，及時排查相關(guān)引入這三個庫的項(xiàng)目。如有安裝，請立即卸載，此外，在下載安裝應(yīng)用前要注意識別名稱，切勿下載不明三方庫。

防范供應(yīng)鏈攻擊，保障生態(tài)安全

以上威脅就是一種供應(yīng)鏈攻擊，是黑客利用開發(fā)者對供應(yīng)商產(chǎn)品的信任，通過供應(yīng)商軟件植入惡意程序進(jìn)行攻擊的一種方式。

在互聯(lián)互通時代，在安全上獨(dú)善其身遠(yuǎn)遠(yuǎn)不夠，合作伙伴和供應(yīng)商產(chǎn)品的安全缺陷也會威脅到自身，如何保障全鏈路的生態(tài)安全也是支付寶安全實(shí)驗(yàn)室關(guān)注的方向。支付寶天宸實(shí)驗(yàn)室本次發(fā)現(xiàn)是在掃描工具中添加了一種新的供應(yīng)鏈檢測技術(shù)，可以捕捉隱藏在合法代碼中的異常代碼片段，從而提前發(fā)現(xiàn)風(fēng)險(xiǎn)，同步到相關(guān)機(jī)構(gòu)，第一時間警示開發(fā)者。

而這種安全檢測技術(shù)，僅僅支付寶安全實(shí)驗(yàn)室的眾多研究方向的其中一塊。

據(jù)了解，支付寶安全實(shí)驗(yàn)室的研究領(lǐng)域覆蓋基礎(chǔ)安全、IoT安全、AI攻防、智能風(fēng)控、隱私保護(hù)、網(wǎng)絡(luò)犯罪研究、可信身份識別、行業(yè)研究等，提供保障12億支付寶用戶的領(lǐng)先安全科技。

點(diǎn)擊查看? 惡意庫解決方案