研究人员发现Python模块存在后门,注意是python模块,不是npm包。该模块名为SSH解密器(ssh-decorate),这是以色列开发者Uri Goren开发的处理SSH连接的库。
本周一,另一位开发者注意到多个SSH decorate模块含有收集用户SSH,并发送数据到远程服务器的代码。其中远程服务器的地址位于:http://ssh-decorate.cf/index.php。
开发者回应:存在后门是因为被黑
在注意到这个问题后,Goren回应说后门并不是他故意留的,而是被黑的结果,“我更新了PyPI(Python Package Index,python官方的第三方库的仓库)密码,并重新以ssh-decorator的名字发送了该包。并在仓储中更新了readme文件,来确保用户意识到该事件”。README文件内容为:
It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.
本模块之前的版本被劫持了,并被非法上传到PyPi。确保在使用该模块之前,阅读该包(和任何请求用户凭证的包)的代码。
在该事件成为Reddit的热点之后,一些人发出了指责和怀疑开发者的本来目的。因此,Goren决定从GitHub和PyPI上都移除该包。
如果你仍在使用SH Decorator(ssh-decorate)模块,那么最新的安全版本是0.27。0.28版本到0.31版本都是恶意版本。
Mitch (@Viking_Sec) 说,不仅仅是被插入了后门,传输的SSH密钥也是未加密的。所以任何监视和窃听网络的人都可以获取其这些信息。
不是个例!此前已有类似事件发生
这已经不是第一次库被植入后门并上传到中央代码库中。上周npm团队发现一个隐藏后门可以插入到主流的包中。2017年8月,npm团队移除了38个窃取环境参数的JS npm包。2017年9月,PyPI 也发生过类似的恶意python包事件。
