Ghostxp3软件下载站:安全、高速、绿色的无病毒下载站!

当前位置:GhostXP3软件下载站 > 资讯

恶意 Python 库被发现会窃取 SSH 和 GPG 密钥

时间:2019-12-06 作者: 来源:GhostXP3软件下载站 人气:

  Python 安全团队从 PyPI (Python Package Index)移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。

  德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。

恶意 Python 库被发现会窃取 SSH 和 GPG 密钥

  Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入 jeIlyfish 库。

  dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。

网友评论(共有 0 条评论)

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

评论列表