Python官方库软件包SSH-Decorator被植入后门

据 Reddit 用户报告,在 Python 库的SSH-Decorator 软件包中发现了窃取用户 SSH 私钥及帐号密码的后门,目前该库已被Python官方移除。SSH-Decorator 为以色列开发人员Uri Goren开发,主要用途为解决用户从Python代码中发起的SSH通信连接。

事件起因

此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现,多个新近版本的SSH-Decorator模块中含有后门,该后门功能具备收集用户SSH密钥信息,并发送到以下远端服务器的机制:

http://ssh-decorate.cf/index.php

经分析,SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播,就引起开源社区的广泛关注和讨论。

开发者发声:后门是黑客攻击故意植入的

随着网络社区的一波波关注声讨,SSH-Decorator原始开发者Uri Goren终于表态了,他强调,这个锅他不背,后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。

Uri Goren还说:

“我已经更新了我的PyPI密码,并重新转发上传了一个新的SSH-Decorator。另外,我还在软件包的自述文件中作了说明,确保用户知晓此事。”

SSH-Decorator后续给出的自述文件是这样说明的:

此次后门事件已引起我们的高度重视,主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门,导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码,特别是那些要求密钥认证的在用版本。

强烈反响

声明过后,此次事件在Reddit社区引起了热烈讨论,成为热门话题。很多开发者言辞激烈地进行了谴责,迫于压力,Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。

其它类似事例

这不是开源软件第一次存在后门的事件,也就在4月底,NPM包管理团队(Node Package Manager)发现,有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。

另外,2017年8月,NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包,这些包都具备窃取用户环境变量信息的问题。

与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似,2017年,斯洛伐克国家安全办公室也曾发现,在PyPI库中存在十余款恶意的Python软件包,之后,这些软件包被Python官方迅速移除。

缓解修复措施

此次后门事件将开源软件安全性的讨论推向高峰,很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制,如果你正在使用这些版本SSH-Decorator,请务必回退到0.27或以下的安全版本为好。

*参考来源:reddit,FreeBuf 小编 clouds 编译,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏gaoqin31

Linux例行性工作排程 (crontab)

crontab是Unix和Linux用于设置周期性被执行的指令,是互联网很常用的技术,很多任务都会设置在crontab循环执行,如果不使用crontab,那么任...

973
来自专栏技术小黑屋

关闭Mac屏幕右上角QQ通知

前段时间看到QQ提示更新,于是手贱了一次升级到了QQ for Mac V4.0.1,最不爽的一件事在屏幕的右上角多出来了一个横幅,内容就是别人发给你的消息的内容...

6662
来自专栏数据和云

【Windows最近肿么了】32TB的Win10源码遭泄露?

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 TheRegister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心...

3398
来自专栏地方网络工作室的专栏

客制化 GH60 XD60 像 Poker 一样的 60% 机械键盘 (2) 采购以及组装

客制化 GH60 XD60 像 Poker 一样的 60% 机械键盘 (2) 采购以及组装 在第一篇博文中 客制化键盘设计,我最终设计了如下图的键盘: ? 但是...

3218
来自专栏工科狗和生物喵

干货:论如何扩大你的Wifi范围

开篇语 出于某种不可告人的目的,在回家的前一天我来研究了一下如何增大无线网的范围的技术。大概折腾了两个小时之后,终于成功的完成了一个无线桥接的工作。暂时还没有...

1.1K11
来自专栏java一日一条

从输入 URL 到浏览器接收的过程中发生了什么事情?

首先是「输入 URL」,大部分人的第一反应会是键盘,不过为了与时俱进,这里将介绍触摸屏设备的交互。

1323
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

5346
来自专栏FreeBuf

“同形异义字”钓鱼攻击,钉钉中招

技术交流:allen.lan#hotmail.com(# > @) 同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名...

3087
来自专栏北京马哥教育

记一次Linux服务器被入侵后的检测过程

? 作者 | 哈兹本德 来源 | FreeBuf ? 豌豆贴心提醒,本文阅读时间5分钟,文末有秘密! 0×00 前言 故事是这样的,大年初一,客户反应...

4215
来自专栏腾讯Bugly的专栏

微信文件微起底

微信大家都在用,但微信的本地文件到底隐藏着什么样的信息呢?我们怎么可以把长得都一样的微信,变的跟别人的不一样,来个专业定制 100 年呢?这个是一个让大家的微信...

3064

扫码关注云+社区

领取腾讯云代金券