原標題：Python庫現后門 可竊取用戶SSH信息

導語：Python處理SSH連接的庫模塊被黑,惡意代碼可以收集用戶SSH，并發送數據到遠程服務器。

研究人員發現Python模塊存在后門，注意是python模塊，不是npm包。該模塊名為SSH解密器(ssh-decorate)，這是以色列開發者Uri Goren開發的處理SSH連接的庫。

本周一，另一位開發者注意到多個SSH decorate模塊含有收集用戶SSH，并發送數據到遠程服務器的代碼。其中遠程服務器的地址位于：http://ssh-decorate.cf/index.php。

開發者回應：存在后門是因為被黑在注意到這個問題后，Goren回應說后門并不是他故意留的，而是被黑的結果，“我更新了PyPI(Python Package Index，python官方的第三方庫的倉庫)密碼，并重新以ssh-decorator的名字發送了該包。并在倉儲中更新了readme文件，來確保用戶意識到該事件”。README文件內容為：

It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.

本模塊之前的版本被劫持了，并被非法上傳到PyPi。確保在使用該模塊之前，閱讀該包(和任何請求用戶憑證的包)的代碼。

在該事件成為Reddit的熱點之后，一些人發出了指責和懷疑開發者的本來目的。因此，Goren決定從GitHub和PyPI上都移除該包。

如果你仍在使用SH Decorator(ssh-decorate)模塊，那么最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。

Mitch (@Viking_Sec) 說，不僅僅是被插入了后門，傳輸的SSH密鑰也是未加密的。所以任何監視和竊聽網絡的人都可以獲取其這些信息。

不是個例！此前已有類似事件發生

這已經不是第一次庫被植入后門并上傳到中央代碼庫中。上周npm團隊發現一個隱藏后門可以插入到主流的包中。2017年8月，npm團隊移除了38個竊取環境參數的JS npm包。2017年9月，PyPI 也發生過類似的惡意python包事件。

本文轉載自嘶吼。

詳情鏈接：http://jaq.alibaba.com/community/art/show?articleid=1692

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品，面向企業和開發者提供互聯網業務安全解決方案，全面覆蓋移動安全、數據風控、內容安全、實人認證等維度，并在業界率先提出“以業務為中心的安全”，賦能生態，與行業共享阿里巴巴集團多年沉淀的專業安全能力。返回搜狐，查看更多

責任編輯：

總結

以上是生活随笔為你收集整理的python decorator ssh_Python库现后门 可窃取用户SSH信息的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。