欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Python官方库软件包SSH-Decorator被植入后门

来源:本站整理 作者:佚名 时间:2018-05-10 TAG: 我要投稿


据 Reddit 用户报告,在 Python 库的SSH-Decorator 软件包中发现了窃取用户 SSH 私钥及帐号密码的后门,目前该库已被Python官方移除。SSH-Decorator 为以色列开发人员Uri Goren开发,主要用途为解决用户从Python代码中发起的SSH通信连接。
事件起因
此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现,多个新近版本的SSH-Decorator模块中含有后门,该后门功能具备收集用户SSH密钥信息,并发送到以下远端服务器的机制:
http://ssh-decorate.cf/index.php

经分析,SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播,就引起开源社区的广泛关注和讨论。
开发者发声:后门是黑客攻击故意植入的
随着网络社区的一波波关注声讨,SSH-Decorator原始开发者Uri Goren终于表态了,他强调,这个锅他不背,后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。
Uri Goren还说:
“我已经更新了我的PyPI密码,并重新转发上传了一个新的SSH-Decorator。另外,我还在软件包的自述文件中作了说明,确保用户知晓此事。”
SSH-Decorator后续给出的自述文件是这样说明的:
此次后门事件已引起我们的高度重视,主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门,导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码,特别是那些要求密钥认证的在用版本。
强烈反响
声明过后,此次事件在Reddit社区引起了热烈讨论,成为热门话题。很多开发者言辞激烈地进行了谴责,迫于压力,Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。

其它类似事例
这不是开源软件第一次存在后门的事件,也就在4月底,NPM包管理团队(Node Package Manager)发现,有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。
另外,2017年8月,NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包,这些包都具备窃取用户环境变量信息的问题。
与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似,2017年,斯洛伐克国家安全办公室也曾发现,在PyPI库中存在十余款恶意的Python软件包,之后,这些软件包被Python官方迅速移除。
缓解修复措施
此次后门事件将开源软件安全性的讨论推向高峰,很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制,如果你正在使用这些版本SSH-Decorator,请务必回退到0.27或以下的安全版本为好。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载