用的国外媒体有问题(国外媒体有什么）

近日外媒有安全人员爆料称Python pip ssh-decoration被发现有后门代码！是的，又是皮普污染。

Pip是Python的开源包存储库。但是，这个开源库的管理非常松散。尤其在安全性方面，没有严格的审核机制。用户只需要一个电子邮件来注册一个帐户，然后就可以把它的源文件上传到pip resources。这个pip资源被世界上所有的python用户下载。如果有人上传一个混有恶意代码的包，用常见程序的名字命名，比如zip、ssh、smb、ftp。那么当一个用户试图搜索下载这个名字的包时，这个用户就会被抓住，可谓神不知鬼不觉。这就是pip存在的供应链安全问题。回过头来看，对皮普的攻击并不是什么新鲜事。早在几年前，国外研究人员就进行过类似的实验。真正让大家关注的是，2017年，国产白帽还对pip源进行了一次中毒测试，结果令人震惊，各大厂商主机相继被感染。但无论如何，之前我们看到的都是以渗透测试为目的的pip污染事件，而这一次，我们看到了真正的后门！我们来看看它具体的技术相关内容。

Ssh-decorate是github开源项目，地址是https://github.com/urigoren/Ssh_decorate.它的功能应该是实现类似ssh客户端的功能，用python实现，提供一些更友好的接口。现在这个项目已经被原作者删除了，只有google cache里的人才能看一下它之前的内容。pypi上ssh_decorate的地址是：https://pypi.org/project/ssh-decorate.当前的恶意包也已经被pypi移除，找不到当前页面。

这个后门事件最早是由一个用户在reddit上发帖揭露的，发布了一个恶意代码片段，如图1所示。从图中可以看出，恶意代码的实现比较直接，没有代码加密、混淆等对策。主要动作是将ssh服务器的用户名、密码、ip地址、端口和私钥信息发送到远程服务器。服务器地址：http://ssh-decorate.cf/index.php.最重要的一点是，它收集密码和私钥信息。有了这些信息，就相当于盗取了ssh服务器的账号。看这个攻击者的服务器URL，可以看出域名还是很混乱的。使用ssh-decorate字符串。此外，有安全研究人员通过其DNS记录系统发现，该域名注册于2018年5月8日。就是这个攻击这个域名的存活期其实是比较短的。

图1

所以，一个很重要的问题：pip的这个恶意包是怎么来的？其实ssh-decorate这个开源包在github和pypi中已经存在很久了，它的作者是urigoren。那么，为什么这个pypi上的包会被插入恶意代码呢？原作者不一定要这样。最后我们通过一期github找到了原因。这个问题是一个用户发现了恶意代码，问开发者urigoren为什么它的pypi源码包含恶意代码。此问题已被删除，但https://webcache.googleusercontent.com/search?可以从缓存中链接。q=cache : vjuikpx 1-0ej :https://github . com/uri goren/ssh _ decorator/issues/11