不到一周前,某代码库被曝隐藏后门。这次, Python 模块而非 npm (JavaScript) 数据包中被曝后门。

这个模块的名称是 “SSH Decorator (ssh-decorate)”,它是由以色列开发人员 Uri Goren 开发的用于处理源自 Python 代码的 SSH 连接的库。

本周一,一名开发人员发现 SSH Docorator 模块的多个最新版本中包含收集用户 SSH 凭证并将这些数据发送给位于如下位置的一个远程服务器的代码:

http://ssh-decorate.cf/index.php

Goren:后门是黑客插入的

Goren 获悉该问题后表示,这个后门并非有意为之,而是库被黑的结果。

他指出,“我已经更新了我的 PyPI 密码,而且将这个包以新名称 ‘ssh-decorator’ 重新发布。我还更新了这个库的 readme,确保用户也意识到这个问题的存在。”

README 文件指出,“我们已获悉,这个模块之前的版本已遭劫持并被非法上传至 PyPi。在使用前请仔细检查这个包(或要求获取权限的其它包)的代码。”

但就在这起事件成为 Reddit 的热门话题后,一些人指责了 Goren 的做法,因此 Goren 决定从 GitHub 和 PyPI中完全删除这个包。

如果你的项目仍然在使用 SH Decorator (ssh-decorate) 模块,记住最新的安全版本是 0.27。版本 0.28 至 0.31 均被认为是恶意版本。

此前的后门案例

这并非库被插入后门并被上传至中心代码库的首个案例。最新案例发生在昨天,当时 npm 团队找到了一个流入某个流行包中的狡猾的隐匿后门。

2017年8月,该npm 团队还删除了38 款 JavaScript npm 包,这些包被指从受感染项目中窃取多个环境变量。

PyPI (Python Package Index) 即 Python 的官方第三方软件库也曾遭遇类似事件。2017年9月,斯洛伐克国家安全局 (NBU) 发现并报告了 PyPI 上存在的10个恶意 Python 包,随后这些包被迅速删除。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。