Python库现后门 可窃取用户SSH信息

x
用微信扫描二维码
分享至好友和朋友圈

  

  研究人员发现Python模块存在后门,注意是python模块,不是npm包。该模块名为SSH解密器(ssh-decorate),这是以色列开发者Uri Goren开发的处理SSH连接的库。

  本周一,另一位开发者注意到多个SSH decorate模块含有收集用户SSH,并发送数据到远程服务器的代码。其中远程服务器的地址位于:http://ssh-decorate.cf/index.php。

  

  

  开发者回应:存在后门是因为被黑

  在注意到这个问题后,Goren回应说后门并不是他故意留的,而是被黑的结果,“我更新了PyPI(Python Package Index,python官方的第三方库的仓库)密码,并重新以ssh-decorator的名字发送了该包。并在仓储中更新了readme文件,来确保用户意识到该事件”。README文件内容为:

  It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.

  本模块之前的版本被劫持了,并被非法上传到PyPi。确保在使用该模块之前,阅读该包(和任何请求用户凭证的包)的代码。

  在该事件成为Reddit的热点之后,一些人发出了指责和怀疑开发者的本来目的。因此,Goren决定从GitHub和PyPI上都移除该包。

  如果你仍在使用SH Decorator(ssh-decorate)模块,那么最新的安全版本是0.27。0.28版本到0.31版本都是恶意版本。

  Mitch (@Viking_Sec)说,不仅仅是被插入了后门,传输的SSH密钥也是未加密的。所以任何监视和窃听网络的人都可以获取其这些信息。

   不是个例!此前已有类似事件发生

  这已经不是第一次库被植入后门并上传到中央代码库中。上周npm团队发现一个隐藏后门可以插入到主流的包中。2017年8月,npm团队移除了38个窃取环境参数的JS npm包。2017年9月,PyPI 也发生过类似的恶意python包事件。

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 7 参与 13
© 1997-2018 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

嘶吼RoarTalk

不一样的互联网安全新视界

头像

嘶吼RoarTalk

不一样的互联网安全新视界

1943

篇文章

人关注

列表加载中...
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码