聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
不到一周前,某代码库被曝隐藏后门。这次, Python 模块而非 npm (JavaScript) 数据包中被曝后门。
这个模块的名称是 “SSH Decorator (ssh-decorate)”,它是由以色列开发人员 Uri Goren 开发的用于处理源自 Python 代码的 SSH 连接的库。
本周一,另外一名开发人员发现 SSH Docorator 模块的多个最新版本中包含收集用户 SSH 凭证并将这些数据发送给位于如下位置的一个远程服务器的代码:
Goren 获悉该问题后表示,这个后门并非有意为之,而是库被黑的结果。
他指出,“我已经更新了我的 PyPI 密码,而且将这个包以新名称 ‘ssh-decorator’ 重新发布。我还更新了这个库的 readme,确保用户也意识到这个问题的存在。”
README 文件指出,“我们已获悉,这个模块之前的版本已遭劫持并被非法上传至 PyPi。在使用前请仔细检查这个包(或要求获取权限的其它包)的代码。”
但就在这起事件成为 Reddit 的热门话题后,一些人指责了 Goren 的做法,因此 Goren 决定从 GitHub 和 PyPI中完全删除这个包。
如果你的项目仍然在使用 SH Decorator (ssh-decorate) 模块,记住最新的安全版本是 0.27。版本 0.28 至 0.31 均被认为是恶意版本。
这并非库被插入后门并被上传至中心代码库的首个案例。最新案例发生在昨天,当时 npm 团队找到了一个流入某个流行包中的狡猾的隐匿后门。
2017年8月,该npm 团队还删除了38 款 JavaScript npm 包,这些包被指从受感染项目中窃取多个环境变量。
PyPI (Python Package Index) 即 Python 的官方第三方软件库也曾遭遇类似事件。2017年9月,斯洛伐克国家安全局 (NBU) 发现并报告了 PyPI 上存在的10个恶意 Python 包,随后这些包被迅速删除。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。