Time: 2020-01-02  Csdn博客

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

  Python 安全团队从 PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。

  德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。

  Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入 jeIlyfish 库。

  dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。

  第一个植入了木马的库名是

  python3-dateutil

  它模仿了流行的python dateutil 库,在名称前面假装是python3版本混入Pypi中。

等级保护资讯网

  第二个是“ jeIlyfish ”(第一个L字母的小写I),它模仿“jellyfish ”库。

等级保护资讯网

  总的来说,最近学Python的人越来越多,连小学生都开始用起来了,而安全风险也就随之而来,务必在日常编程安装Python库的时候擦亮眼睛,注意大小写,甚至自行进行代码审计,防止中招带来毁灭性的损失。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。