近日，腾讯安全应急响应中心（TSRC）发出通知，也就是七夜同学所在的团队，听说里面一群大佬。洋葱反入侵系统检测发现，攻击者在 PyPI官方仓库恶意上传了request 钓鱼包，该包通过伪造流行 python 库 requests 包名来进行钓鱼， 攻击者可对受感染的主机进行控制，开展一系列种植木马后门，窃取浏览器账号密码等活动，还可能一不小心看到你浏览的“小网页”哟。

  

具体细节请看：TSRC安全通知 《PyPI 官方仓库遭遇request恶意包投毒》

广大开发者要注意查看自己安装requests包时，是不是因为手抖了一下导致安装成了恶意包，不要心存侥幸，根据用户的输入习惯统计，在安装requests包时，非常容易将名字打错为 request，一定要自查。

自查方式

1.查看安装的包

使用"pip show --file request"进行查看

如果结果为"WARNING: Package(s) not found: request"，不存在风险。

当然 有的pip版本不展示这个WARNING,直接为空。

你在Linux可以使用 “pip list | grep request"来判断：

2.查看流量 （适合公司）

域名：

dexy.top

who.dexy.top:3500

ip:

199.247.5.158

url:

http://dexy.top/request/check.so

http://dexy.top/x.pyx

给广大开发者的安全建议

1.安装包的时候的手不要抖，要认清安装的包名

2.使用开源项目时候，要根据项目指定的依赖安装，不要看代码中import package，想当然安装

3.部署的项目的时候尽量放到docker中运行，缓解危险范围

最后

最近有朋友说在后台和七夜交流技术不是很方便，下面是七夜的微信号，想进行技术交流的可以加他，备注公众号，卖货的，伸手党不要加，谢谢。

推荐阅读

从沙盒逃逸看Python黑科技（下篇）

从沙盒逃逸看Python黑科技（上篇）

不一样的 "反弹Shell" 系统剖析

HW : Cobalt Strike 应该这样学

WebShell通用免杀的思考

WebShell "干掉" RASP

无文件执行：一切皆是shellcode (中)

无文件执行：一切皆是shellcode (上)

linux无文件执行— fexecve 揭秘

沙盒syscall监控组件：strace and wtrace

无"命令"反弹shell-逃逸基于execve的命令监控(上)

APT组织武器：MuddyC3泄露代码分析

Python RASP 工程化:一次入侵的思考

如果大家喜欢这篇文章的话，请不要吝啬分享到朋友圈，并置顶公众号。

关注公众号：七夜安全博客

回复【11】：领取Sandboxie源码

• 回复【1】：领取 Python数据分析 教程大礼包

• 回复【2】：领取 Python Flask 全套教程

• 回复【3】：领取 某学院 机器学习 教程

• 回复【4】：领取 爬虫 教程

• 回复【5】：领取编译原理 教程

• 回复【6】：领取渗透测试教程

• 回复【7】：领取人工智能数学基础

• 回复【8】：领取 python神经网络 教程 

• 回复【9】：领取 安卓逆向 教程