首页 > 业界资讯    日期:2019-12-05 / 来自互联网 / 浏览

Python 安全团队从  PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。

德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。

https://zdnet4.cbsistatic.com/hub/i/2019/12/04/9d6de096-5c14-4888-976b-6bb4a36a5c61/3b8da917af66d7d01f9849156e6d6e04/olgired2017.png

Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入  jeIlyfish 库。

dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。

觉得上面的内容有用吗?快来点个赞吧!

点赞() 我要打赏

温馨提示 : 本站内容来自会员投稿以及互联网,所有源码及教程均为作者总结编辑,请大家在使用过程中提前做好备份,以免发生无法预知的错误,源码类教程请勿直接用于生产环境!

 可能感兴趣的文章