（给Python开发者加星标，提升Python技能）

原创：Python开发者（id：PythonCoder）

提示：最近一年安装 jellyfish 库的童鞋，请看完本文后自查一下。

偷 SSH 和 GPG 密钥的恶意第三方 Python 库被揪出

据 ZDNet 12 月 4 日报道，PyPi 安全团队删除了两个恶意 Python 库，发现它们从中招的开发者的项目中窃取 SSH 和 GPG 密钥。

这 2 个恶意库出自同一个开发者 olgired2017，此人从库名上仿冒了知名 Python 库。

> 第一个恶意库的全称是：python3 dateutil ，它模仿了 dateutil 库；
（该库是在 11 月 29 日创建，只存活几天。）

> 第二个恶意库是 jeIlyfish （ 第一个不是小写的 L，而是大写的 i），它则模仿了 jellyfish  库。
（该库是在 2018 年 12 月 11 日创建，存活时间将近 1 年。）

12 月 1 日，德国开发者 Lukas Martini 发现恶意库，并报告给 dateutil 库的作者和 PyPi 团队，随后恶意库被删除。

Martini 研究后发现，恶意代码只存在于 jeIlyfish 库中。python3 dateutil 库本身不包含恶意代码，但它确实导入了 jeIlyfish 库。

ZDNet 请 dateutil 开发团队的成员 Paul Ganssle 仔细研究恶意代码。

Ganssle 表示：“恶意库 jeIlyfish 在 Gitlab，其中有一个名为 hashsum 的文件，这个文件名不起眼，但它会从中招开发者的计算机中筛选出 SSH 和 GPG 密钥，然后发送到这个 IP 地址：68.183.212.246:32258。”

此外，它还会获取受害者电脑中的目录、主目录、PyCharm 项目目录。这应该是用来分析受害者哪些项目值得攻击/偷窃。

除去恶意代码部分（偷密钥之外），这 2 个仿冒的恶意库，均包括了正主库的代码。这也就是说，恶意库是可以完成正主库的功能。

鉴于恶意库 jeIlyfish 存活将近一年了，建议大家检查一下。如果你中招了，修改最近一年所有的 SSH 和 GPG 密钥。

PS：

> 这是 PyPi 团队第 4 次删除恶意库。2017 年 9 月删了 10 个库，2018 年删了 12 个库，2019 年 7 月删了 3 个库。

> o 和 0，小写 L 和大写 i……一直都是恶意软件青睐的骚操作

觉得本文对你有帮助？请分享给更多人

关注「Python开发者」加星标，提升Python技能

好文章，我在看❤️