信息來(lái)源:4hou
研究人員發(fā)現(xiàn)Python模塊存在后門,注意是python模塊,不是npm包。該模塊名為SSH解密器(ssh-decorate),這是以色列開發(fā)者Uri Goren開發(fā)的處理SSH連接的庫(kù)。
本周一,另一位開發(fā)者注意到多個(gè)SSH decorate模塊含有收集用戶SSH,并發(fā)送數(shù)據(jù)到遠(yuǎn)程服務(wù)器的代碼。其中遠(yuǎn)程服務(wù)器的地址位于:http://ssh-decorate.cf/index.php。
開發(fā)者回應(yīng):存在后門是因?yàn)楸缓?
在注意到這個(gè)問題后,Goren回應(yīng)說(shuō)后門并不是他故意留的,而是被黑的結(jié)果,“我更新了PyPI(Python Package Index,python官方的第三方庫(kù)的倉(cāng)庫(kù))密碼,并重新以ssh-decorator的名字發(fā)送了該包。并在倉(cāng)儲(chǔ)中更新了readme文件,來(lái)確保用戶意識(shí)到該事件”。README文件內(nèi)容為:
It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.
本模塊之前的版本被劫持了,并被非法上傳到PyPi。確保在使用該模塊之前,閱讀該包(和任何請(qǐng)求用戶憑證的包)的代碼。
在該事件成為Reddit的熱點(diǎn)之后,一些人發(fā)出了指責(zé)和懷疑開發(fā)者的本來(lái)目的。因此,Goren決定從GitHub和PyPI上都移除該包。
如果你仍在使用SH Decorator(ssh-decorate)模塊,那么最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。
Mitch (@Viking_Sec) 說(shuō),不僅僅是被插入了后門,傳輸?shù)腟SH密鑰也是未加密的。所以任何監(jiān)視和竊聽網(wǎng)絡(luò)的人都可以獲取其這些信息。
不是個(gè)例!此前已有類似事件發(fā)生
這已經(jīng)不是第一次庫(kù)被植入后門并上傳到中央代碼庫(kù)中。上周npm團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)隱藏后門可以插入到主流的包中。2017年8月,npm團(tuán)隊(duì)移除了38個(gè)竊取環(huán)境參數(shù)的JS npm包。2017年9月,PyPI 也發(fā)生過(guò)類似的惡意python包事件。