今天由七夜的好朋友,八戒哥哥爲你們播報python
近日,騰訊安全應急響應中心(TSRC)發出通知,也就是七夜同窗所在的團隊,據說裏面一羣大佬。洋蔥反入侵系統檢測發現,攻擊者在 PyPI官方倉庫惡意上傳了request 釣魚包,該包經過僞造流行 python 庫 requests 包名來進行釣魚, 攻擊者可對受感染的主機進行控制,開展一系列種植木馬後門,竊取瀏覽器帳號密碼等活動,還可能一不當心看到你瀏覽的「小網頁」喲。linux
具體細節請看:TSRC安全通知 《PyPI 官方倉庫遭遇request惡意包投毒》web
廣大開發者要注意查看本身安裝requests包時,是否是由於手抖了一下致使安裝成了惡意包,不要心存僥倖,根據用戶的輸入習慣統計,在安裝requests包時,很是容易將名字打錯爲 request,必定要自查。docker
自查方式
shell
1.查看安裝的包
瀏覽器
使用"pip show --file request"進行查看安全
若是結果爲"WARNING: Package(s) not found: request",不存在風險。微信
固然 有的pip版本不展現這個WARNING,直接爲空。網絡
你在Linux能夠使用 「pip list | grep request"來判斷:app
2.查看流量 (適合公司)
域名:
dexy.top
who.dexy.top:3500
ip:
199.247.5.158
url:
http://dexy.top/request/check.so
http://dexy.top/x.pyx
給廣大開發者的安全建議
1.安裝包的時候的手不要抖,要認清安裝的包名
2.使用開源項目時候,要根據項目指定的依賴安裝,不要看代碼中import package,想固然安裝
3.部署的項目的時候儘可能放到docker中運行,緩解危險範圍
最後
最近有朋友說在後臺和七夜交流技術不是很方便,下面是七夜的微信號,想進行技術交流的能夠加他,備註公衆號,賣貨的,伸手黨不要加,謝謝。
推薦閱讀
沙盒syscall監控組件:strace and wtrace
無"命令"反彈shell-逃逸基於execve的命令監控(上)
若是你們喜歡這篇文章的話,請不要吝嗇分享到朋友圈,並置頂公衆號。
關注公衆號:七夜安全博客
回覆【11】:領取Sandboxie源碼
回覆【1】:領取 Python數據分析 教程大禮包
回覆【2】:領取 Python Flask 全套教程
回覆【3】:領取 某學院 機器學習 教程
回覆【4】:領取 爬蟲 教程
回覆【5】:領取編譯原理 教程
回覆【6】:領取滲透測試教程
回覆【7】:領取人工智能數學基礎
回覆【8】:領取 python神經網絡 教程
回覆【9】:領取 安卓逆向 教程
本文分享自微信公衆號 - 七夜安全博客(qiye_safe)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。