注意啦:Python 库现后门,可窃取用户 SSH 信息

Python处理SSH连接的库模块被黑,恶意代码可以收集用户SSH,并发送数据到远程服务器。

研究人员发现Python模块存在后门,注意是python模块,不是npm包。该模块名为SSH解密器(ssh-decorate),这是以色列开发者Uri Goren开发的处理SSH连接的库。

本周一,另一位开发者注意到多个SSH decorate模块含有收集用户SSH,并发送数据到远程服务器的代码。其中远程服务器的地址位于:http://ssh-decorate.cf/index.php。

开发人员:后门是黑客的结果

在这个问题引起他的注意之后,Goren说,后门不是故意的,是黑客的结果。他说:“我已经更新了PyPI密码,并将这个包裹重新贴在了一个新名字“ssh-decorator”上。“我还更新了存储库的readme,以确保我的用户也知道这个件。”

README文件写道:

它已经引起了我们的注意,这个模块以前的版本被非法劫持并上传到PyPi。在使用此包之前,请务必查看此包的代码(或任何其他要求您的凭证的包)。

但在这一事件成为Reddit的热门话题之后,一些人向他提出了一些指责,Goren决定将这个包裹从GitHub和PyPI (Python central repo hub)中删除。

如果您仍然在您的项目中使用SH Decorator (ssh-修饰)模块,那么最后一个安全版本是0.27。版本0.28到0.31被认为是恶意版本。

注意:不仅仅是被插入了后门,传输的SSH密钥也是未加密的。所以任何监视和窃听网络的人都可以获取其这些信息。

不是个例!此前已有类似事件发生

这已经不是第一次库被植入后门并上传到中央代码库中。最后一件事发生在上周,当时npm团队发现了一种巧妙隐藏的后门,从而进入了一个流行的软件包。

在2017年8月,同样的npm团队也删除了38个JavaScript npm包,它们从被感染的项目中窃取环境变量。

PyPI - Python包索引也发生了类似的事情——Python编程语言的官方第三方软件存储库。在2017年9月,斯洛伐克国家安全办公室(NBU)发现并报告了在PyPI上的10个恶意Python包,并立即删除。

-END-

*声明:推送内容与图片均源自公开互联网,部分内容会有所改动,侵删。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180516A0I1GC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券