提示：最近一年安装 jellyfish 库的童鞋，请看完本文后自查一下。

偷 SSH 和 GPG 密钥的恶意第三方 Python 库被揪出

据 ZDNet 12 月 4 日报道，PyPi 安全团队删除了两个恶意 Python 库，发现它们从中招的开发者的项目中窃取 SSH 和 GPG 密钥。

这 2 个恶意库出自同一个开发者 olgired2017，此人从库名上仿冒了知名 Python 库。

第一个恶意库的全称是：python3 dateutil ，它模仿了 dateutil 库；
（该库是在 11 月 29 日创建，只存活几天。）

第二个恶意库是 jeIlyfish （ 第一个不是小写的 L，而是大写的 i），它则模仿了 jellyfish 库。
（该库是在 2018 年 12 月 11 日创建，存活时间将近 1 年。）

12 月 1 日，德国开发者 Lukas Martini 发现恶意库，并报告给 dateutil 库的作者和 PyPi 团队，随后恶意库被删除。

Martini 研究后发现，恶意代码只存在于 jeIlyfish 库中。python3 dateutil 库本身不包含恶意代码，但它确实导入了 jeIlyfish 库。

ZDNet 请 dateutil 开发团队的成员 Paul Ganssle 仔细研究恶意代码。

Ganssle 表示：“恶意库 jeIlyfish 在 Gitlab，其中有一个名为 hashsum 的文件，这个文件名不起眼，但它会从中招开发者的计算机中筛选出 SSH 和 GPG 密钥，然后发送到这个 IP 地址：68.183.212.246:32258。”

此外，它还会获取受害者电脑中的目录、主目录、PyCharm 项目目录。这应该是用来分析受害者哪些项目值得***/偷窃。

除去恶意代码部分（偷密钥之外），这 2 个仿冒的恶意库，均包括了正主库的代码。这也就是说，恶意库是可以完成正主库的功能。

鉴于恶意库 jeIlyfish 存活将近一年了，建议大家检查一下。如果你中招了，修改最近一年所有的 SSH 和 GPG 密钥。

PS：

这是 PyPi 团队第 4 次删除恶意库。2017 年 9 月删了 10 个库，2018 年删了 12 个库，2019 年 7 月删了 3 个库。

o 和 0，小写 L 和大写 i……一直都是恶意软件青睐的骚操作

©著作权归作者所有：来自51CTO博客作者mb5fe18fed96438的原创作品，如需转载，请注明出处，否则将追究法律责任

更多相关文章

1. 检索InnoDB组合密钥表的最后插入ID
2. 在Python中解析Yaml：检测重复的密钥
3. ssh 免密码登录 与 密钥公钥原理讲解
4. java 对称加密——密钥与加密后的数据存盘方式

随机推荐

1. HTML5的本地存储
2. html css伪元素标签（二）灵活
3. body和html到底有多高&&浏览器的背景色问
4. Struts消息国际化及异常处理
5. 在ios中，html5页面打电话
6. flex嵌入jsp中遇到的难题？
7. 将我的代码中的JavaDoc注释转换为HTML
8. 网页语言有html，php.jsp，无论什么语言浏览
9. confirm 确认框的一个实际应用
10. Bootstrap glyphicons未在IE和Safari中显