今天由七夜的好朋友,八戒哥哥为大家播报
近日,腾讯安全应急响应中心(TSRC)发出通知,也就是七夜同学所在的团队,听说里面一群大佬。洋葱反入侵系统检测发现,攻击者在 PyPI官方仓库恶意上传了request 钓鱼包,该包通过伪造流行 python 库 requests 包名来进行钓鱼, 攻击者可对受感染的主机进行控制,开展一系列种植木马后门,窃取浏览器账号密码等活动,还可能一不小心看到你浏览的“小网页”哟。
具体细节请看:TSRC安全通知 《PyPI 官方仓库遭遇request恶意包投毒》
广大开发者要注意查看自己安装requests包时,是不是因为手抖了一下导致安装成了恶意包,不要心存侥幸,根据用户的输入习惯统计,在安装requests包时,非常容易将名字打错为 request,一定要自查。
自查方式
1.查看安装的包
使用"pip show --file request"进行查看
如果结果为"WARNING: Package(s) not found: request",不存在风险。
当然 有的pip版本不展示这个WARNING,直接为空。
你在Linux可以使用 “pip list | grep request"来判断:
2.查看流量 (适合公司)
域名:
dexy.top
who.dexy.top:3500
ip:
199.247.5.158
url:
http://dexy.top/request/check.so
http://dexy.top/x.pyx
给广大开发者的安全建议
1.安装包的时候的手不要抖,要认清安装的包名
2.使用开源项目时候,要根据项目指定的依赖安装,不要看代码中import package,想当然安装
3.部署的项目的时候尽量放到docker中运行,缓解危险范围
最近有朋友说在后台和七夜交流技术不是很方便,下面是七夜的微信号,想进行技术交流的可以加他,备注公众号,卖货的,伸手党不要加,谢谢。
沙盒syscall监控组件:strace and wtrace
无"命令"反弹shell-逃逸基于execve的命令监控(上)
如果大家喜欢这篇文章的话,请不要吝啬分享到朋友圈,并置顶公众号。
关注公众号:七夜安全博客
回复【11】:领取Sandboxie源码
回复【1】:领取 Python数据分析 教程大礼包
回复【2】:领取 Python Flask 全套教程
回复【3】:领取 某学院 机器学习 教程
回复【4】:领取 爬虫 教程
回复【5】:领取编译原理 教程
回复【6】:领取渗透测试教程
回复【7】:领取人工智能数学基础
回复【8】:领取 python神经网络 教程
回复【9】:领取 安卓逆向 教程