快讯 Python官方库软件包SSH-Decorator被植入后门

x
用微信扫描二维码
分享至好友和朋友圈


  

  据 Reddit 用户报告,在 Python 库的SSH-Decorator 软件包中发现了窃取用户 SSH 私钥及帐号密码的后门,目前该库已被Python官方移除。SSH-Decorator 为以色列开发人员Uri Goren开发,主要用途为解决用户从Python代码中发起的SSH通信连接。

  事件起因

  此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现,多个新近版本的SSH-Decorator模块中含有后门,该后门功能具备收集用户SSH密钥信息,并发送到以下远端服务器的机制:

  

http://ssh-decorate.cf/index.php

  

  

  经分析,SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播,就引起开源社区的广泛关注和讨论。

  开发者发声:后门是黑客攻击故意植入的

  随着网络社区的一波波关注声讨,SSH-Decorator原始开发者Uri Goren终于表态了,他强调,这个锅他不背,后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。

  Uri Goren还说:

  

“我已经更新了我的PyPI密码,并重新转发上传了一个新的SSH-Decorator。另外,我还在软件包的自述文件中作了说明,确保用户知晓此事。”

  SSH-Decorator后续给出的自述文件是这样说明的:

  

此次后门事件已引起我们的高度重视,主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门,导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码,特别是那些要求密钥认证的在用版本。
强烈反响

  声明过后,此次事件在Reddit社区引起了热烈讨论,成为热门话题。很多开发者言辞激烈地进行了谴责,迫于压力,Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。

  

  
其它类似事例

  这不是开源软件第一次存在后门的事件,也就在4月底,NPM包管理团队(Node Package Manager)发现,有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。

  另外,2017年8月,NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包,这些包都具备窃取用户环境变量信息的问题。

  与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似,2017年,斯洛伐克国家安全办公室也曾发现,在PyPI库中存在十余款恶意的Python软件包,之后,这些软件包被Python官方迅速移除。

  缓解修复措施

  此次后门事件将开源软件安全性的讨论推向高峰,很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制,如果你正在使用这些版本SSH-Decorator,请务必回退到0.27或以下的安全版本为好。

  *参考来源:reddit,FreeBuf 小编 clouds 编译,转载请注明来自 FreeBuf.COM

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

跟贴 跟贴 1 参与 101
推荐
资讯
财经
科技
娱乐
游戏
搞笑
汽车
历史
生活
更多
二次元
军事
教育
健身
健康
家居
故事
房产
宠物
旅游
时尚
美食
育儿
情感
人文
数码
三农
艺术
职场
体育
星座
© 1997-2020 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 侵权投诉 Reporting Infringements | 不良信息举报

FreeBuf

互联网安全新媒体

头像

FreeBuf

互联网安全新媒体

5558

篇文章

14323

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码