恶意 Python 库被发现会窃取 SSH 和 GPG 密钥
作者: 安华金和
Python 安全团队从 PyPI 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。
德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。
Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入 jeIlyfish 库。
dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。
来源:solidot.org
更多资讯
100 款违法违规 APP 下架整改
据国家网络安全通报中心的通报,11 月以来,公安部组织开展APP违法违规采集个人信息集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,集中发现、侦办、查处整改了100款违法违规APP及其运营的互联网企业,光大银行、更美、考拉海购、微店、晋江小说阅读、飞牛网等在列。
来源:中新网
详情链接:https://www.dbsec.cn/blog/article/5519.html
谷歌技术故障导致美国三大航空公司网站短暂宕机
北京时间 12 月 5 日早间消息,由于谷歌提供的飞行数据软件发生技术故障,导致美国三大航空公司的网站周三短暂关闭。美国航空公司、达美航空公司和美国联合航空公司网站周三都遭遇宕机。
来源:新浪科技
详情链接:https://www.dbsec.cn/blog/article/5520.html
信息泄露的潘多拉魔盒打开后:骗子盲发快递,30 万人不出门也中招
刘女士收到一个 99 元的到付快递,她以为是家人买的,于是便付款签收。打开快递,里面是一个壁灯,一问,家人都没买过。花了 99 元,得到一个用不上的灯,刘女士感觉被骗了。尽管家人都劝她算了,但她还是坚持报了警。
来源:电商报
详情链接:https://www.dbsec.cn/blog/article/5521.html
8 人团伙被抓!安全技术人员变身黑客,专黑金融网站数据库
今年以来,广州警方共发起侦破“净网”专案 7 次,参与全国专项集群战役 10 次,侦破网络主侦案件 1500 余起,打掉团伙 224 个,依法刑事拘留犯罪嫌疑人 5313 名,缴获被泄露窃取买卖的公民个人信息 13 亿余条,极大地震慑了网络犯罪分子的嚣张气焰。
来源:羊城派
详情链接:https://www.dbsec.cn/blog/article/5522.html
(信息来源于网络,安华金和搜集整理)