هشدار محققان امنیتی درباره
بنا بر گزارشهای منتشر شده، تیم امنیتی پایتون در روزهای اخیر دو کتابخانه پایتون آلوده به تروجان را که کلیدهای SSH و GPG را از پروژههای توسعهدهندگان به سرقت میبردند، از PyPI (فهرست بستههای پایتون) خود حذف کرده است. این دو کتابخانه با استفاده از روشی به نام typosquatting که برای ثبت نامهای شبیه به هم مورد استفاده قرار میگیرد، منتشر شده بودند.
اولین کتابخانه python3-dateutil نام دارد که از نام کتابخانه محبوب «dateutil» تقلید شده است. دومین کتابخانه نیز با نام jeIlyfish از نام کتابخانه «jellyfish» سوءاستفاده کرده است. این دو کتابخانه مخرب در روز یکشنبه، اول دسامبر توسط لوکاس مارتینی، توسعه دهنده نرمافزار آلمانی کشف شده است. همچنین هر دو کتابخانهها در همان روز از فهرست کتابخانههای پایتون حذف شدهاند.
با وجود اینکه کتابخانه python3-dateutil تنها دو روز قبل، یعنی در تاریخ ۲۹ نوامبر در فهرست بستههای پایتون آپلود شده بود، اما کتابخانه jeIlyfish حدود یک سال پیش و در تاریخ ۱۱ دسامبر ۲۰۱۸، آپلود شده بود.
پائول گنسل، یکی از اعضای تیم توسعهدهنده dateutil با بررسی این کتابخانهها و کدهای مخرب آنها اظهار کرده است که کد موجود در کتابخانه «jeIlyfish» یک فایل به نام «hashsum» را دانلود کرده و آن را در یک فایل پایتون رمزگشایی کرده و سپس آن را اجرا میکند.
به گفته گنسل، به نظر میرسد که این فایل در تلاش است تا کلیدهای SSH و GPG را از کامپیوتر کاربر سرقت کرده و آنها را به یک آدرس IP با نشانی 68.183.212.246 روی پورت 32258 ارسال کند.
توضیحات بیشتر در:
- Two malicious Python libraries caught stealing SSH and GPG keys