【安全通知】PyPI 官方仓库遭遇request恶意包投毒

于 2020-08-05 20:23:21 发布
阅读量5.4k 收藏 4
点赞数 3
文章标签: 安全 nginx 信息安全 操作系统 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tencent_SRC/article/details/107853393
版权

作者:

腾讯洋葱反入侵系统

七夜、vspiders、conan

近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC在此建议各开源镜像站以及对开源镜像站有依赖的公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。

事件描述 

7月31号 攻击者在PyPI官方仓库上传了request 恶意包,该恶意包通过伪造著名python 库 requests 包名来进行钓鱼, 攻击者可对受感染的主机进行入侵,并实施窃取用户敏感信息及数字货币密钥、种植持久化后门、命令控制等一系列活动。

恶意包感染过程如下:

1.用户安装

最低0.47元/天 解锁文章
腾讯安全应急响应中心
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
博客
腾讯元宝专项众测启动,多重奖励等你来拿!
06-03 683
工作生活超强辅助,解锁你的全能搭子!腾讯元宝APP已于5.30上线啦!腾讯元宝,基于混元大模型的AI助手,期望通过AI能力帮助用户在办公、学习、创作、生活等领域提供效率和生活辅助,现已正式上线应用商店,欢迎大家下载体验。点击链接或扫码下载????下载链接:https://hunyuan.tencent.com/为了保障腾讯元宝的安全,针对混元资产下的相关漏洞及情报,TSRC特别发起专项征集活动,诚邀大家...
博客
端午专项众测开冲,4倍奖励等你来拿!
05-22 417
端午节快到啦,TSRC发起专项众测活动,给你4倍奖励、多倍快乐!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间2024.5.22 10:00~2024/5/3118:00活动范围本次众测仅针对特定范围业务,具体范围如下:针对财...
博客
Llama-Code Shield解读:大模型代码安全护盾解析
05-16 709
引言大模型目前被广泛用于生成代码数据,能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞,也成了悬在头顶的达摩克利斯之剑。最近,Llama-3的问世,不仅带来了新的代码生成能力,更配备了Code Shield这一安全检测利器,为LLM生成的代码筑起了一道坚固的防线。腾讯朱雀实验室基于Llama-3开源的Code Shield项目,进行了相关的技术分析和实验测试。总体而言,Code Shiel...
博客
警惕Hugging Face开源组件风险被利用于大模型供应链攻击
11-03 174
文|腾讯朱雀实验室Alien、Nicky导语近日,腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性,可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时,会导致PC/服务器被入侵,同时在大模型预训练、微调等场景中,最终还可能导致大模型参数被窃取或篡改。朱雀在此建议大家及时排查,同时也将持续进行大模型基础设施安全研究,分...
博客
协同共建|深入分析应用密钥安全治理之术
11-11 781
文|应用漏洞扫描Oteam、PCG安全团队MartinzhouI. 背景当前,各类开放平台、依托云原生技术模式的PaaS/SaaS服务涌现,密钥(Credentials / Secrets)成了跨服务、跨平台调用认证的关键一环。短短几十个字符,背后往往通向上万台CVM或者整个业务数据。好似露出洋面的一角冰山,稍往下深挖,底下可能就是牵动企业安全命脉的“金山银山”。当前,针对个人用户登录密码的保护技...
博客
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
11-05 1516
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
博客
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
11-03 2239
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
博客
Ghostscript沙箱绕过(CVE-2021-3781)分析
10-29 1385
文|腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被诸多著名应用(如ImageMagick)所使用。9月5日,海外安全研...
博客
关于BGP安全那些事儿
10-19 3860
文|宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午,Facebook公司网络出现重大故障,故障持续了6个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。(...
博客
紧急任务|鹅厂绝密档案失窃,请立即追回!
10-18 416
2050年,高度发达的赛博世界没有给世界带来安宁,无数狂热的黑客组织通过招募的各国特工,潜入目标内部,兴风作浪,试图控制际遇现代网络系统运行的整个系统。然而冥冥之中暗含着转机,在神秘人的牵...
博客
Web应用组件自动化发现的探索
09-17 328
文|宙斯盾流量安全分析团队彦修引子提到Web指纹识别,大家并不陌生,相关的项目汗牛充栋,比如知名的Wappalyzer、WhatWeb等。而在运营上,各企业也都大同小异,利用提前构建好指纹...
博客
云原生|容器和应用安全运营实践思考
09-07 1859
文| 腾讯“洋葱”入侵对抗团队bghost前言随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s...
博客
腾讯蓝军安全通告:XStream修复14个安全漏洞
08-23 1042
文|腾讯蓝军1. 漏洞概述近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可...
博客
自动化数据分析下的威胁发现
08-16 377
文|宙斯盾流量安全分析团队彦修不记得多早之前,大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章(原文链接),或许有读者会问,这么精确的时间我为什...
博客
可信安全网络 —— 安全左移之DDoS对抗
07-28 653
文|宙斯盾DDoS防护团队RainsDDoS的开始互联网对人类文明的进步影响,不亚于蒸汽机发明对人类文明的影响。当人们享受着网络技术进步给生活带来的便利时,也经历了由于底层协议在设计之初对...
博客
攻防启示:Chromium组件风险剖析与收敛
07-15 789
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
博客
再谈xSRC开源暨如何建设自己的漏洞收集平台
07-14 1341
文|芝泉昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子...
博客
腾讯 SOAR 的安全运营探索
07-09 1534
文|腾讯“洋葱”入侵对抗团队Conan、Uny背景作为一名安全应急人员,每天要处理安全系统的大量告警,据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警,而大部分是无效告警,其中...
博客
腾讯自研HIDS「洋葱」后台上云架构演进实践
06-17 532
腾讯洋葱EDR团队Online、Jaylam导语“洋葱”系统是腾讯自研的主机入侵检测系统(HIDS),能够实时采集服务器上的各种行为并进行实时关联分析和落地存储,承载公司所有的服务器、虚...
博客
匿名信使:木马隐蔽通信浅谈
06-09 549
文|lake2前言这是前文《网络层绕过IDS/IPS的一些探索》[1]的延续,当时就想可以用四层以下的协议实现木马通信绕过各类IDS/IPS的检测,一直没有找到时间测试,正好这次攻防演练值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值