频道栏目
首页 > 安全 > 网络安全 > 正文

Python官方库软件包SSH-Decorator被植入后门

2018-05-16 10:41:51      个评论      
收藏   我要投稿

Python官方库软件包SSH-Decorator被植入后门。据 Reddit 用户报告,在 Python 库的SSH-Decorator 软件包中发现了窃取用户 SSH 私钥及帐号密码的后门,目前该库已被Python官方移除。SSH-Decorator 为以色列开发人员Uri Goren开发,主要用途为解决用户从Python代码中发起的SSH通信连接。

事件起因

此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现,多个新近版本的SSH-Decorator模块中含有后门,该后门功能具备收集用户SSH密钥信息,并发送到以下远端服务器的机制:

http://ssh-decorate.cf/index.php

\

经分析,SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播,就引起开源社区的广泛关注和讨论。

开发者发声:后门是黑客攻击故意植入的

随着网络社区的一波波关注声讨,SSH-Decorator原始开发者Uri Goren终于表态了,他强调,这个锅他不背,后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。

Uri Goren还说:

“我已经更新了我的PyPI密码,并重新转发上传了一个新的SSH-Decorator。另外,我还在软件包的自述文件中作了说明,确保用户知晓此事。”

SSH-Decorator后续给出的自述文件是这样说明的:

此次后门事件已引起我们的高度重视,主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门,导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码,特别是那些要求密钥认证的在用版本。

强烈反响

声明过后,此次事件在Reddit社区引起了热烈讨论,成为热门话题。很多开发者言辞激烈地进行了谴责,迫于压力,Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。

\

其它类似事例

这不是开源软件第一次存在后门的事件,也就在4月底,NPM包管理团队(Node Package Manager)发现,有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。

另外,2017年8月,NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包,这些包都具备窃取用户环境变量信息的问题。

与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似,2017年,斯洛伐克国家安全办公室也曾发现,在PyPI库中存在十余款恶意的Python软件包,之后,这些软件包被Python官方迅速移除。

缓解修复措施

此次后门事件将开源软件安全性的讨论推向高峰,很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制,如果你正在使用这些版本SSH-Decorator,请务必回退到0.27或以下的安全版本为好。

上一篇:近400个政企网站感染Coinhive恶意软件,秘密挖掘加密货币
下一篇:GeekPwn2018携全新赛制 登陆国际顶尖黑客大赛DEF CON
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站