原標題：Python庫現(xiàn)后門 可竊取用戶SSH信息

導語：Python處理SSH連接的庫模塊被黑,惡意代碼可以收集用戶SSH，并發(fā)送數(shù)據(jù)到遠程服務器。

研究人員發(fā)現(xiàn)Python模塊存在后門，注意是python模塊，不是npm包。該模塊名為SSH解密器(ssh-decorate)，這是以色列開發(fā)者Uri Goren開發(fā)的處理SSH連接的庫。

本周一，另一位開發(fā)者注意到多個SSH decorate模塊含有收集用戶SSH，并發(fā)送數(shù)據(jù)到遠程服務器的代碼。其中遠程服務器的地址位于：http://ssh-decorate.cf/index.php。

開發(fā)者回應：存在后門是因為被黑在注意到這個問題后，Goren回應說后門并不是他故意留的，而是被黑的結(jié)果，“我更新了PyPI(Python Package Index，python官方的第三方庫的倉庫)密碼，并重新以ssh-decorator的名字發(fā)送了該包。并在倉儲中更新了readme文件，來確保用戶意識到該事件”。README文件內(nèi)容為：

It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.

本模塊之前的版本被劫持了，并被非法上傳到PyPi。確保在使用該模塊之前，閱讀該包(和任何請求用戶憑證的包)的代碼。

在該事件成為Reddit的熱點之后，一些人發(fā)出了指責和懷疑開發(fā)者的本來目的。因此，Goren決定從GitHub和PyPI上都移除該包。

如果你仍在使用SH Decorator(ssh-decorate)模塊，那么最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。

Mitch (@Viking_Sec) 說，不僅僅是被插入了后門，傳輸?shù)腟SH密鑰也是未加密的。所以任何監(jiān)視和竊聽網(wǎng)絡的人都可以獲取其這些信息。

不是個例！此前已有類似事件發(fā)生

這已經(jīng)不是第一次庫被植入后門并上傳到中央代碼庫中。上周npm團隊發(fā)現(xiàn)一個隱藏后門可以插入到主流的包中。2017年8月，npm團隊移除了38個竊取環(huán)境參數(shù)的JS npm包。2017年9月，PyPI 也發(fā)生過類似的惡意python包事件。

本文轉(zhuǎn)載自嘶吼。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1692

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品，面向企業(yè)和開發(fā)者提供互聯(lián)網(wǎng)業(yè)務安全解決方案，全面覆蓋移動安全、數(shù)據(jù)風控、內(nèi)容安全、實人認證等維度，并在業(yè)界率先提出“以業(yè)務為中心的安全”，賦能生態(tài)，與行業(yè)共享阿里巴巴集團多年沉淀的專業(yè)安全能力。返回搜狐，查看更多

責任編輯：

總結(jié)

以上是生活随笔為你收集整理的python decorator ssh_Python库现后门 可窃取用户SSH信息的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。