PyPI官方倉庫被投毒,今天手抖了嗎?


今天由七夜的好朋友,八戒哥哥爲你們播報python

近日,騰訊安全應急響應中心(TSRC)發出通知,也就是七夜同窗所在的團隊,據說裏面一羣大佬。洋蔥反入侵系統檢測發現,攻擊者在 PyPI官方倉庫惡意上傳了request 釣魚包,該包經過僞造流行 python 庫 requests 包名來進行釣魚, 攻擊者可對受感染的主機進行控制,開展一系列種植木馬後門,竊取瀏覽器帳號密碼等活動,還可能一不當心看到你瀏覽的「小網頁」喲。linux

   


具體細節請看:TSRC安全通知 《PyPI 官方倉庫遭遇request惡意包投毒web



廣大開發者要注意查看本身安裝requests包時,是否是由於手抖了一下致使安裝成了惡意包,不要心存僥倖,根據用戶的輸入習慣統計,在安裝requests包時,很是容易將名字打錯爲 request,必定要自查。docker



自查方式
shell


1.查看安裝的包
瀏覽器


使用"pip show --file request"進行查看安全

若是結果爲"WARNING: Package(s) not found: request",不存在風險。微信

固然 有的pip版本不展現這個WARNING,直接爲空。網絡


你在Linux能夠使用 「pip list | grep request"來判斷:app



2.查看流量 (適合公司)


域名:

dexy.top

who.dexy.top:3500


ip:

199.247.5.158


url:

http://dexy.top/request/check.so

http://dexy.top/x.pyx


給廣大開發者的安全建議


1.安裝包的時候的手不要抖,要認清安裝的包名

2.使用開源項目時候,要根據項目指定的依賴安裝,不要看代碼中import package,想固然安裝

3.部署的項目的時候儘可能放到docker中運行,緩解危險範圍

最後

最近有朋友說在後臺和七夜交流技術不是很方便,下面是七夜的微信號,想進行技術交流的能夠加他,備註公衆號賣貨的,伸手黨不要加,謝謝。

     

推薦閱讀

從沙盒逃逸看Python黑科技(下篇)

從沙盒逃逸看Python黑科技(上篇)

不同的 "反彈Shell" 系統剖析

HW : Cobalt Strike 應該這樣學

WebShell通用免殺的思考

WebShell "幹掉" RASP

無文件執行:一切皆是shellcode (中)

無文件執行:一切皆是shellcode (上)

linux無文件執行— fexecve 揭祕

沙盒syscall監控組件:strace and wtrace

無"命令"反彈shell-逃逸基於execve的命令監控(上)

APT組織武器:MuddyC3泄露代碼分析

Python RASP 工程化:一次入侵的思考



若是你們喜歡這篇文章的話,請不要吝嗇分享到朋友圈,並置頂公衆號。

關注公衆號:七夜安全博客

回覆【11】:領取Sandboxie源碼

  • 回覆【1】:領取 Python數據分析 教程大禮包

  • 回覆【2】:領取 Python Flask 全套教程

  • 回覆【3】:領取 某學院 機器學習 教程

  • 回覆【4】:領取 爬蟲 教程

  • 回覆【5】:領取編譯原理 教程

  • 回覆【6】:領取滲透測試教程

  • 回覆【7】:領取人工智能數學基礎

  • 回覆【8】:領取 python神經網絡 教程 

  • 回覆【9】:領取 安卓逆向 教程  


本文分享自微信公衆號 - 七夜安全博客(qiye_safe)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。

相關文章
相關標籤/搜索