两个恶意Python库正在窃取SSH和GPG密钥

Python安全团队从PyPI（Python包索引）中删除了两个安装了特洛伊木马的Python库，它们从受感染的开发项目中窃取SSH和GPG密钥。

Python安全团队从PyPI（Python包索引）中删除了两个受污染的Python库，发现它们从受感染的开发项目中窃取SSH和GPG密钥。

这两个库python3-dateutil和jeIlyfish都是由同一个开发人员（olgired2017）开发的，其名称类似于合法应用的名称。

这个名字模仿了流行的“dateutil”库，而“jeIlyfish”（第一个L是I）则模仿了“jellyfish”库。

12月1日，德国软件开发人员Lukas Martini发现了这两个库。。

Martini 写道 ：“请注意：PyPI上有一个名为python3 dateutil的软件包的伪版本，它包含了jeIlyfish包的额外导入（它本身就是jellyfish的伪版本，第一个L是I）。这个包又包含了从jeIlyfish/_jellyfish.py:的313行开始的恶意代码。” 

python3-dateutil库于11月29日已创建并上传到PyPI，“jeIlyfish”于2018年12月11日上传。

专家们在Martini向dateutil开发人员和PyPI安全团队报告他的发现的同一天删除了这两个库。

jeIlyfish库包含恶意代码，而python3-dateutil库不包含恶意代码，但发现它正在导入jeIlyfish库。

受到感染的库试图从受害者的计算机中过滤SSH和GPG密钥，并将其发送到IP地址为68.183.212.246的服务器上的端口32258。

只要有使用这两个污染库的开发人员都必须更改自2018年12月以来使用的所有SSH和GPG密钥。