模仿的Python库‘dateutil’ and ‘jellyfish’被发现窃取SSH和GPG密钥

模仿的Python库‘dateutil’ and ‘jellyfish’被发现窃取SSH和GPG密钥
科技类Forge媒体的编辑。在全球技术会议上经常看到一只手握着咖啡,另一只手握着笔记本电脑。如果它令人讨厌,我可能会喜欢上它。

在过去的一年中,两个恶意的Python库被发现从开发人员那里窃取SSH和GPG密钥。

这些库是PyPI(Python包索引)的一部分,并使用错别字模仿了两个流行的非恶意库。

第一个图书馆是“python3-dateutil,” which imitates “dateutil,” 提供Python扩展的库’的标准日期时间模块。

接下来是“jeIlyfish”图书馆,第一个“L” being an “I”注册一个相似的名称,以欺骗开发人员使其相信’重新使用原始库。真正的 ”jellyfish” 库用于对字符串进行近似和语音匹配。

这两个恶意库都是由德国软件开发商Lukas Martini在本月初发现的。在Martini通知Python安全小组的同一天,库被删除了。

幸运的是,感谢马提尼酒’快速观察,python3-dateutil库仅运行了两天。然而,水母活了将近一年(自2018年12月11日起)。

The python3-dateutil library did not contain any malicious code itself, but it did import the 水母 library which does.

PyPI统计, the malicious 水母 library was apparently downloaded:

  • 最后一天:13

  • 上周:103

  • 上个月:119 

库中的代码似乎是从用户那里窃取SSH和GPG密钥’的计算机并将其发送到IP地址 68.183.212.246

建议所有开发人员检查他们是否’意外下载或导入了恶意库,而不是原始库。如果是这样’建议更改过去一年使用的所有SSH和GPG密钥。

有兴趣听行业领导者讨论这样的话题并分享用例吗? 参加同居 5G博览会物联网技术博览会, 区块链博览会, 人工智能 & 大数据 Expo和 网络安全& 云 Expo 世界大赛即将在硅谷,伦敦和阿姆斯特丹举行。

查看评论
发表评论

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *