社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Python

恶意 Python 库偷 SSH 密钥!请自查是否中招

Python开发者 • 5 年前 • 758 次点击  

(给Python开发者加星标,提升Python技能

原创:Python开发者(id:PythonCoder)

提示:最近一年安装 jellyfish 库的童鞋,请看完本文后自查一下。

偷 SSH 和 GPG 密钥的恶意第三方 Python 库被揪出

据 ZDNet 12 月 4 日报道,PyPi 安全团队删除了两个恶意 Python 库,发现它们从中招的开发者的项目中窃取 SSH 和 GPG 密钥。



这 2 个恶意库出自同一个开发者 olgired2017,此人从库名上仿冒了知名 Python 库。



> 第一个恶意库的全称是:python3 dateutil ,它模仿了 dateutil 库;
(该库是在 11 月 29 日创建,只存活几天。)

> 第二个恶意库是 jeIlyfish ( 第一个不是小写的 L,而是大写的 i),它则模仿了 jellyfish  库。
(该库是在 2018 年 12 月 11 日创建,存活时间将近 1 年。)


12 月 1 日,德国开发者 Lukas Martini 发现恶意库,并报告给 dateutil 库的作者和 PyPi 团队,随后恶意库被删除。


Martini 研究后发现,恶意代码只存在于 jeIlyfish 库中。python3 dateutil 库本身不包含恶意代码,但它确实导入了 jeIlyfish 库。

ZDNet 请 dateutil 开发团队的成员 Paul Ganssle 仔细研究恶意代码。

Ganssle 表示:“恶意库 jeIlyfish 在 Gitlab,其中有一个名为 hashsum 的文件,这个文件名不起眼,但它会从中招开发者的计算机中筛选出 SSH 和 GPG 密钥,然后发送到这个 IP 地址:68.183.212.246:32258。”

此外,它还会获取受害者电脑中的目录、主目录、PyCharm 项目目录。这应该是用来分析受害者哪些项目值得攻击/偷窃。

除去恶意代码部分(偷密钥之外),这 2 个仿冒的恶意库,均包括了正主库的代码。这也就是说,恶意库是可以完成正主库的功能。

鉴于恶意库 jeIlyfish 存活将近一年了,建议大家检查一下。如果你中招了,修改最近一年所有的 SSH 和 GPG 密钥。


PS:

> 这是 PyPi 团队第 4 次删除恶意库。2017 年 9 月删了 10 个库,2018 年删了 12 个库,2019 年 7 月删了 3 个库。


> o 和 0,小写 L 和大写 i……一直都是恶意软件青睐的骚操作


推荐阅读

(点击标题可跳转阅读)

PyPI 发现 3 个针对 Linux 服务器的恶意库

Python 官方推出新的 PyPI 网站,旧 PyPI 于 4 月 30 日关闭

计算机技能需求新排名:Python 仅排第 3,第 1 你可能猜不到哦



觉得本文对你有帮助?请分享给更多人

关注「Python开发者」加星标,提升Python技能

好文章,我在看❤️

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/50852
 
758 次点击