信息來源：4hou

研究人員發(fā)現(xiàn)Python模塊存在后門，注意是python模塊，不是npm包。該模塊名為SSH解密器（ssh-decorate），這是以色列開發(fā)者Uri Goren開發(fā)的處理SSH連接的庫。

本周一，另一位開發(fā)者注意到多個SSH decorate模塊含有收集用戶SSH，并發(fā)送數(shù)據(jù)到遠(yuǎn)程服務(wù)器的代碼。其中遠(yuǎn)程服務(wù)器的地址位于：http://ssh-decorate.cf/index.php。

開發(fā)者回應(yīng)：存在后門是因?yàn)楸缓?

在注意到這個問題后，Goren回應(yīng)說后門并不是他故意留的，而是被黑的結(jié)果，“我更新了PyPI（Python Package Index，python官方的第三方庫的倉庫）密碼，并重新以ssh-decorator的名字發(fā)送了該包。并在倉儲中更新了readme文件，來確保用戶意識到該事件”。README文件內(nèi)容為：

It has been brought to our attention, that previous versions of this module had been hijacked and uploaded to PyPi unlawfully. Make sure you look at the code of this package (or any other package that asks for your credentials) prior to using it.

本模塊之前的版本被劫持了，并被非法上傳到PyPi。確保在使用該模塊之前，閱讀該包（和任何請求用戶憑證的包）的代碼。

在該事件成為Reddit的熱點(diǎn)之后，一些人發(fā)出了指責(zé)和懷疑開發(fā)者的本來目的。因此，Goren決定從GitHub和PyPI上都移除該包。

如果你仍在使用SH Decorator（ssh-decorate）模塊，那么最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。

Mitch (@Viking_Sec) 說，不僅僅是被插入了后門，傳輸?shù)腟SH密鑰也是未加密的。所以任何監(jiān)視和竊聽網(wǎng)絡(luò)的人都可以獲取其這些信息。

不是個例！此前已有類似事件發(fā)生

這已經(jīng)不是第一次庫被植入后門并上傳到中央代碼庫中。上周npm團(tuán)隊(duì)發(fā)現(xiàn)一個隱藏后門可以插入到主流的包中。2017年8月，npm團(tuán)隊(duì)移除了38個竊取環(huán)境參數(shù)的JS npm包。2017年9月，PyPI 也發(fā)生過類似的惡意python包事件。