هشدار محققان امنیتی درباره

سرقت کلید‌های SSH و GPG توسط کتابخانه‌های آلوده پایتون

تیم امنیتی پایتون به‌تازگی موفق به شناسایی دو کتابخانه پایتون آلوده به تروجان شده است که کلید‌های SSH و GPG را از پروژه‌های توسعه‌دهندگان به سرقت می‌بردند. این تیم پس از شناسایی، کتابخانه‌های آلوده را از PyPI (فهرست بسته‌های پایتون) حذف کرده است.
کتابخانه‌های آلوده پایتون

بنا بر گزارش‌های منتشر شده، تیم امنیتی پایتون در روزهای اخیر دو کتابخانه پایتون آلوده به تروجان را که کلید‌های SSH و GPG را از پروژه‌های توسعه‌دهندگان به سرقت می‌بردند، از PyPI (فهرست بسته‌های پایتون) خود حذف کرده است. این دو کتابخانه با استفاده از روشی به نام typosquatting که برای ثبت نام‌های شبیه به هم مورد استفاده قرار می‌گیرد، منتشر شده بودند.

اولین کتابخانه python3-dateutil نام دارد که از نام کتابخانه محبوب «dateutil» تقلید شده است. دومین کتابخانه نیز با نام jeIlyfish از نام کتابخانه «jellyfish» سوءاستفاده کرده است. این دو کتابخانه مخرب در روز یکشنبه، اول دسامبر توسط لوکاس مارتینی، توسعه دهنده نرم‌افزار آلمانی کشف شده است. همچنین هر دو کتابخانه‌ها در همان روز از فهرست کتابخانه‌های پایتون حذف شده‌اند.

با وجود اینکه کتابخانه python3-dateutil تنها دو روز قبل، یعنی در تاریخ ۲۹ نوامبر در فهرست بسته‌های پایتون آپلود شده بود، اما کتابخانه jeIlyfish حدود یک سال پیش و در تاریخ ۱۱ دسامبر ۲۰۱۸، آپلود شده بود.

پائول گنسل، یکی از اعضای تیم توسعه‌دهنده dateutil با بررسی این کتابخانه‌ها و کدهای مخرب آن‌ها اظهار کرده است که کد موجود در کتابخانه «jeIlyfish» یک فایل به نام «hashsum» را دانلود کرده و آن را در یک فایل پایتون رمزگشایی کرده و سپس آن را اجرا می‌کند.

به گفته گنسل، به نظر می‌رسد که این فایل در تلاش است تا کلید‌های SSH و GPG را از کامپیوتر کاربر سرقت کرده و آن‌ها را به یک آدرس IP با نشانی 68.183.212.246 روی پورت 32258 ارسال کند.

 

 

توضیحات بیشتر در:

Two malicious Python libraries caught stealing SSH and GPG keys