今天由七夜的好朋友,八戒哥哥为你们播报python
近日,腾讯安全应急响应中心(TSRC)发出通知,也就是七夜同窗所在的团队,据说里面一群大佬。洋葱反入侵系统检测发现,攻击者在 PyPI官方仓库恶意上传了request 钓鱼包,该包经过伪造流行 python 库 requests 包名来进行钓鱼, 攻击者可对受感染的主机进行控制,开展一系列种植木马后门,窃取浏览器帐号密码等活动,还可能一不当心看到你浏览的“小网页”哟。linux
具体细节请看:TSRC安全通知 《PyPI 官方仓库遭遇request恶意包投毒》web
广大开发者要注意查看本身安装requests包时,是否是由于手抖了一下致使安装成了恶意包,不要心存侥幸,根据用户的输入习惯统计,在安装requests包时,很是容易将名字打错为 request,必定要自查。docker
自查方式
shell
1.查看安装的包
浏览器
使用"pip show --file request"进行查看安全
若是结果为"WARNING: Package(s) not found: request",不存在风险。微信
固然 有的pip版本不展现这个WARNING,直接为空。网络
你在Linux能够使用 “pip list | grep request"来判断:app
2.查看流量 (适合公司)
域名:
dexy.top
who.dexy.top:3500
ip:
199.247.5.158
url:
http://dexy.top/request/check.so
http://dexy.top/x.pyx
给广大开发者的安全建议
1.安装包的时候的手不要抖,要认清安装的包名
2.使用开源项目时候,要根据项目指定的依赖安装,不要看代码中import package,想固然安装
3.部署的项目的时候尽可能放到docker中运行,缓解危险范围
最后
最近有朋友说在后台和七夜交流技术不是很方便,下面是七夜的微信号,想进行技术交流的能够加他,备注公众号,卖货的,伸手党不要加,谢谢。
推荐阅读
沙盒syscall监控组件:strace and wtrace
无"命令"反弹shell-逃逸基于execve的命令监控(上)
若是你们喜欢这篇文章的话,请不要吝啬分享到朋友圈,并置顶公众号。
关注公众号:七夜安全博客
回复【11】:领取Sandboxie源码
回复【1】:领取 Python数据分析 教程大礼包
回复【2】:领取 Python Flask 全套教程
回复【3】:领取 某学院 机器学习 教程
回复【4】:领取 爬虫 教程
回复【5】:领取编译原理 教程
回复【6】:领取渗透测试教程
回复【7】:领取人工智能数学基础
回复【8】:领取 python神经网络 教程
回复【9】:领取 安卓逆向 教程
本文分享自微信公众号 - 七夜安全博客(qiye_safe)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。