jeIlyfish 和 jellyfish,你能区分哪个是 PyPI 上的伪造库吗?

oschina
 oschina
发布于 2019年12月05日
收藏 6

Python 软件包索引(PyPI)中引入了两个 Python 软件包的恶意版本,目的是从 Python 开发人员的项目中窃取 SSH 和 GPG 密钥。

PyPI 是 Python 社区创建和共享的软件集,类似于应用中心。

其中一个恶意库通过使用域名抢注来模拟合法库,它的名称为“python3-dateutil”,是对“dateutil”这个软件包的模仿,带有标准 Python datetime 模块的扩展。

python3-dateutil 本身不包含危险代码,但包含导入名为“jeIlyfish”(注意,第一个“L”实际上是“I”)的软件包的语句,而这是“jellyfish ”库的伪造版本。这个伪造的库是从 GitLab 的仓库中下载的,它混淆了代码,该代码收集了 SSH 和 GPG 密钥以及受感染系统上的目录列表,并将其发送给攻击者。

自 2018 年 12 月 11 日以来,PyPI 中一直存在恶意的“jeIlyfish”。

德国开发人员 Lukas Martini 于 12 月 1 日发现了这两个库 ,并向 Python 安全团队报告,几个小时后,团队便采取了行动将其删除。

提醒使用“dateutil”和“jellyfish”的开发者,都检查一下是否导入或下载了不正确的软件包。

来源:https://www.bleepingcomputer.com/news/security/malicious-python-package-available-in-pypi-repo-for-a-year

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:jeIlyfish 和 jellyfish,你能区分哪个是 PyPI 上的伪造库吗?
加载中

精彩评论

木有龙井茶
木有龙井茶
所以,选择字体很重要
陈钇蒙
因为当时还没有程序员
AskMHX
AskMHX
肉眼看不出来。。。
手握华为赛神仙
手握华为赛神仙
我这里的字体,I比l矮一点点
机器人-1
机器人-1
在小写状态 字号比较小的时候,应该没人分的出来

最新评论(16

思维特无敌
思维特无敌
在发布包上加上SHA1消息摘要很重要,这种小把戏就很难折腾了
abcijkxyz
abcijkxyz
用等宽字体
开源中国首席罗纳尔多
开源中国首席罗纳尔多
jeIlyfish和je11yfish吗?哪些字体是等宽字体?
RYAN___
RYAN___
npm包岂不是更加不安全
机器人-1
机器人-1
在小写状态 字号比较小的时候,应该没人分的出来
象牙山赵国强先生
象牙山赵国强先生
所以以后用第三方库的时候先判断一下两个字符串是不是相等?
朱哲
朱哲
还是要用程序员专用字体
dingdayu
dingdayu
厉害了,i和L
c
crystalsis
所以英语当初发明字母的时候为啥搞得这么像。。。
陈钇蒙
因为当时还没有程序员
小翔
小翔
那么,到底哪个是真的呢?
木有龙井茶
木有龙井茶
所以,选择字体很重要
返回顶部
顶部