Python官方库软件包SSH-Decorator被植入后门

事件起因

此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现，多个新近版本的SSH-Decorator模块中含有后门，该后门功能具备收集用户SSH密钥信息，并发送到以下远端服务器的机制：

http://ssh-decorate.cf/index.php

经分析，SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播，就引起开源社区的广泛关注和讨论。

开发者发声：后门是黑客攻击故意植入的

随着网络社区的一波波关注声讨，SSH-Decorator原始开发者Uri Goren终于表态了，他强调，这个锅他不背，后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。

Uri Goren还说：

“我已经更新了我的PyPI密码，并重新转发上传了一个新的SSH-Decorator。另外，我还在软件包的自述文件中作了说明，确保用户知晓此事。”

SSH-Decorator后续给出的自述文件是这样说明的：

此次后门事件已引起我们的高度重视，主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门，导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码，特别是那些要求密钥认证的在用版本。

强烈反响

声明过后，此次事件在Reddit社区引起了热烈讨论，成为热门话题。很多开发者言辞激烈地进行了谴责，迫于压力，Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。

其它类似事例

这不是开源软件第一次存在后门的事件，也就在4月底，NPM包管理团队（Node Package Manager）发现，有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。

另外，2017年8月，NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包，这些包都具备窃取用户环境变量信息的问题。

与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似，2017年，斯洛伐克国家安全办公室也曾发现，在PyPI库中存在十余款恶意的Python软件包，之后，这些软件包被Python官方迅速移除。

缓解修复措施

此次后门事件将开源软件安全性的讨论推向高峰，很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制，如果你正在使用这些版本SSH-Decorator，请务必回退到0.27或以下的安全版本为好。

*参考来源：reddit，FreeBuf 小编 clouds 编译，转载请注明来自 FreeBuf.COM