在过去的一年中,两个恶意的Python库被发现从开发人员那里窃取SSH和GPG密钥。
这些库是PyPI(Python包索引)的一部分,并使用错别字模仿了两个流行的非恶意库。
第一个图书馆是“python3-dateutil,” which imitates “dateutil,” 提供Python扩展的库’的标准日期时间模块。
接下来是“jeIlyfish”图书馆,第一个“L” being an “I”注册一个相似的名称,以欺骗开发人员使其相信’重新使用原始库。真正的 ”jellyfish” 库用于对字符串进行近似和语音匹配。
这两个恶意库都是由德国软件开发商Lukas Martini在本月初发现的。在Martini通知Python安全小组的同一天,库被删除了。
幸运的是,感谢马提尼酒’快速观察,python3-dateutil库仅运行了两天。然而,水母活了将近一年(自2018年12月11日起)。
The python3-dateutil library did not contain any malicious code itself, but it did import the 水母 library which does.
上 PyPI统计, the malicious 水母 library was apparently downloaded:
-
最后一天:13
-
上周:103
-
上个月:119
库中的代码似乎是从用户那里窃取SSH和GPG密钥’的计算机并将其发送到IP地址 68.183.212.246
建议所有开发人员检查他们是否’意外下载或导入了恶意库,而不是原始库。如果是这样’建议更改过去一年使用的所有SSH和GPG密钥。
有兴趣听行业领导者讨论这样的话题并分享用例吗? 参加同居 5G博览会, 物联网技术博览会, 区块链博览会, 人工智能 & 大数据 Expo和 网络安全& 云 Expo 世界大赛即将在硅谷,伦敦和阿姆斯特丹举行。
