Python庫現後門 可竊取用戶SSH信息

研究人員發現Python模塊存在後門，注意是python模塊，不是npm包。該模塊名為SSH解密器（ssh-decorate），這是以色列開發者Uri Goren開發的處理SSH連接的庫。

本周一，另一位開發者注意到多個SSH decorate模塊含有收集用戶SSH，並發送數據到遠程伺服器的代碼。其中遠程伺服器的地址位於：http://ssh-decorate.cf/index.php。

開發者回應：存在後門是因為被黑

在注意到這個問題後，Goren回應說後門並不是他故意留的，而是被黑的結果，「我更新了PyPI（Python Package Index，python官方的第三方庫的倉庫）密碼，並重新以ssh-decorator的名字發送了該包。並在倉儲中更新了readme文件，來確保用戶意識到該事件」。README文件內容為：

It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.

本模塊之前的版本被劫持了，並被非法上傳到PyPi。確保在使用該模塊之前，閱讀該包（和任何請求用戶憑證的包）的代碼。

在該事件成為Reddit的熱點之後，一些人發出了指責和懷疑開發者的本來目的。因此，Goren決定從GitHub和PyPI上都移除該包。

如果你仍在使用SH Decorator（ssh-decorate）模塊，那麼最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。

Mitch (@Viking_Sec) 說，不僅僅是被插入了後門，傳輸的SSH密鑰也是未加密的。所以任何監視和竊聽網路的人都可以獲取其這些信息。

不是個例！此前已有類似事件發生

這已經不是第一次庫被植入後門並上傳到中央代碼庫中。上周npm團隊發現一個隱藏後門可以插入到主流的包中。2017年8月，npm團隊移除了38個竊取環境參數的JS npm包。2017年9月，PyPI 也發生過類似的惡意python包事件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！