注意啦：Python 库现后门，可窃取用户 SSH 信息

Python处理SSH连接的库模块被黑，恶意代码可以收集用户SSH，并发送数据到远程服务器。

研究人员发现Python模块存在后门，注意是python模块，不是npm包。该模块名为SSH解密器（ssh-decorate），这是以色列开发者Uri Goren开发的处理SSH连接的库。

本周一，另一位开发者注意到多个SSH decorate模块含有收集用户SSH，并发送数据到远程服务器的代码。其中远程服务器的地址位于：http://ssh-decorate.cf/index.php。

开发人员：后门是黑客的结果

在这个问题引起他的注意之后，Goren说，后门不是故意的，是黑客的结果。他说：“我已经更新了PyPI密码，并将这个包裹重新贴在了一个新名字“ssh-decorator”上。“我还更新了存储库的readme，以确保我的用户也知道这个件。”

README文件写道：

它已经引起了我们的注意，这个模块以前的版本被非法劫持并上传到PyPi。在使用此包之前，请务必查看此包的代码(或任何其他要求您的凭证的包)。

但在这一事件成为Reddit的热门话题之后，一些人向他提出了一些指责，Goren决定将这个包裹从GitHub和PyPI (Python central repo hub)中删除。

如果您仍然在您的项目中使用SH Decorator (ssh-修饰)模块，那么最后一个安全版本是0.27。版本0.28到0.31被认为是恶意版本。

注意：不仅仅是被插入了后门，传输的SSH密钥也是未加密的。所以任何监视和窃听网络的人都可以获取其这些信息。

不是个例！此前已有类似事件发生

这已经不是第一次库被植入后门并上传到中央代码库中。最后一件事发生在上周，当时npm团队发现了一种巧妙隐藏的后门，从而进入了一个流行的软件包。

在2017年8月，同样的npm团队也删除了38个JavaScript npm包，它们从被感染的项目中窃取环境变量。

PyPI - Python包索引也发生了类似的事情——Python编程语言的官方第三方软件存储库。在2017年9月，斯洛伐克国家安全办公室(NBU)发现并报告了在PyPI上的10个恶意Python包，并立即删除。

-END-

*声明：推送内容与图片均源自公开互联网，部分内容会有所改动，侵删。