python 安全团队从 pypi (python package index) 移除了两个被发现会窃取 ssh 和 gpg 密钥的恶意 python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeilyfish 模仿 jellyfish 库。
德国开发者 lukas martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。
martini 称,恶意代码只存在于 jeilyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入 jeilyfish 库。
dateutil 开发团队成员 paul ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 ssh 和 gpg 密钥,然后发送到一个 ip 地址。
试用申请