查看原文
其他

恶意 Python 库偷 SSH 密钥!请自查是否中招

Python开发者 Python开发者 2021-01-31

(给Python开发者加星标,提升Python技能

原创:Python开发者(id:PythonCoder)

提示:最近一年安装 jellyfish 库的童鞋,请看完本文后自查一下。

偷 SSH 和 GPG 密钥的恶意第三方 Python 库被揪出

据 ZDNet 12 月 4 日报道,PyPi 安全团队删除了两个恶意 Python 库,发现它们从中招的开发者的项目中窃取 SSH 和 GPG 密钥。



这 2 个恶意库出自同一个开发者 olgired2017,此人从库名上仿冒了知名 Python 库。



> 第一个恶意库的全称是:python3 dateutil ,它模仿了 dateutil 库;
(该库是在 11 月 29 日创建,只存活几天。)

> 第二个恶意库是 jeIlyfish ( 第一个不是小写的 L,而是大写的 i),它则模仿了 jellyfish  库。
(该库是在 2018 年 12 月 11 日创建,存活时间将近 1 年。)


12 月 1 日,德国开发者 Lukas Martini 发现恶意库,并报告给 dateutil 库的作者和 PyPi 团队,随后恶意库被删除。


Martini 研究后发现,恶意代码只存在于 jeIlyfish 库中。python3 dateutil 库本身不包含恶意代码,但它确实导入了 jeIlyfish 库。

ZDNet 请 dateutil 开发团队的成员 Paul Ganssle 仔细研究恶意代码。

Ganssle 表示:“恶意库 jeIlyfish 在 Gitlab,其中有一个名为 hashsum 的文件,这个文件名不起眼,但它会从中招开发者的计算机中筛选出 SSH 和 GPG 密钥,然后发送到这个 IP 地址:68.183.212.246:32258。”

此外,它还会获取受害者电脑中的目录、主目录、PyCharm 项目目录。这应该是用来分析受害者哪些项目值得攻击/偷窃。

除去恶意代码部分(偷密钥之外),这 2 个仿冒的恶意库,均包括了正主库的代码。这也就是说,恶意库是可以完成正主库的功能。

鉴于恶意库 jeIlyfish 存活将近一年了,建议大家检查一下。如果你中招了,修改最近一年所有的 SSH 和 GPG 密钥。


PS:

> 这是 PyPi 团队第 4 次删除恶意库。2017 年 9 月删了 10 个库,2018 年删了 12 个库,2019 年 7 月删了 3 个库。


> o 和 0,小写 L 和大写 i……一直都是恶意软件青睐的骚操作


推荐阅读

(点击标题可跳转阅读)

PyPI 发现 3 个针对 Linux 服务器的恶意库

Python 官方推出新的 PyPI 网站,旧 PyPI 于 4 月 30 日关闭

计算机技能需求新排名:Python 仅排第 3,第 1 你可能猜不到哦



觉得本文对你有帮助?请分享给更多人

关注「Python开发者」加星标,提升Python技能

好文章,我在看❤️

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存