1. 威客安全首页
  2. 安全资讯

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥



近日,Python安全团队从PyPI(Python 的官方第三方软件存储库)中删除了两个存在木马后门的Python库,这些库被发现从被感染这些库的开发人员的项目中窃取SSH和GPG密钥。

如下:

第一个植入了木马的库名是

python3-dateutil

它模仿了流行的python dateutil 库,在名称前面假装是python3版本混入Pypi中。

https://pypi.org/project/python-dateutil/

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

第二个是“ jeIlyfish ”(第一个L字母的小写I),它模仿“jellyfish ”库。

https://pypi.org/project/jellyfish/

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

要不是黑鸟带着老花眼镜,压根看不出区别,显然这对于年数较大眼神不好的程序员简直是大杀器。


当然最重要的是他还有官方背书。


而这个作者名叫Olgierd,账号叫Olgired2017,在jeIlyfish发布当天注册,并且在未被人发现一年后,再创建了一个,恐怕是偷密钥high的不行了,然而也估计是这一搞,那些知道dateutil没有python3这个版本可能是用的比较多,德国软件开发者Lukas Martini在12月1日星期日一分析,马上就举报了。

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥


根据安全研究人员所说,恶意代码仅存在于jeIlyfish库中。

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

而python3-dateutil软件包不包含自己的恶意代码,但确实导入了jeIlyfish库,这意味着它通过调用是可以触发恶意行为的。


藏在正常代码中混淆前的恶意代码


恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

去混淆base64+zlib后

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥


可见其会去打开短链接

http://bitly.com/25VZxUbmkr

也就是下面这个链接,其中代码下载并读取了他存储在GitLab存储库中的哈希列表。

https://gitlab.com/olgired2017/aeg_wandoo_dag_m3/raw/master/hashsum


然后通过读取那些Hash列表将其解码为Python文件并执行。

如下图所示,其试图从用户计算机中窃取SSH和GPG密钥,并将它们发送到以下IP地址:

http://68.183.212.246:32258。

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥


上面代码结构很清晰,就不过多描述功能了。


总的来说,最近学Python的人越来越多,连小学生都开始用起来了,而安全风险也就随之而来,务必在日常编程安装Python库的时候擦亮眼睛,注意大小写,甚至自行进行代码审计,防止中招带来毁灭性的损失。



上期阅读

安卓特性漏洞重浮水面,已被多个恶意应用利用

因现场传授朝鲜”区块链知识”,美国加密货币研究员被捕

因为威胁信息管理法即将颁布,因此我将知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

点个赞,每日给你想要

恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

原文始发于微信公众号(黑鸟):恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X