此次事件最早于5月5日开始发酵。Github上的开发人员mowshon发现,多个新近版本的SSH-Decorator模块中含有后门,该后门功能具备收集用户SSH密钥信息,并发送到以下远端服务器的机制:
http://ssh-decorate.cf/index.php
经分析,SSH-Decorator的 0.28到0.31之间的多个版本都存在该后门。消息一经传播,就引起开源社区的广泛关注和讨论。
随着网络社区的一波波关注声讨,SSH-Decorator原始开发者Uri Goren终于表态了,他强调,这个锅他不背,后门是黑客攻击之后故意向SSH-Decorator软件包中植入的。
Uri Goren还说:
“我已经更新了我的PyPI密码,并重新转发上传了一个新的SSH-Decorator。另外,我还在软件包的自述文件中作了说明,确保用户知晓此事。”
SSH-Decorator后续给出的自述文件是这样说明的:
此次后门事件已引起我们的高度重视,主要原因在于之前版本的SSH-Decorator软件包被黑客非法劫持并向其中植入了恶意后门,导致从PyPi下载该软件包的用户受到影响。请务必对照检查你现在或之间版本中受影响的相关代码,特别是那些要求密钥认证的在用版本。
声明过后,此次事件在Reddit社区引起了热烈讨论,成为热门话题。很多开发者言辞激烈地进行了谴责,迫于压力,Uri Goren最终从GitHub 和 Python官方库PyPI中彻底移除了SSH-Decorator下载库。
这不是开源软件第一次存在后门的事件,也就在4月底,NPM包管理团队(Node Package Manager)发现,有攻击者意欲想在流行的JavaScript软件包Mailparser中植入后门。
另外,2017年8月,NPM团队曾从一些开源软件项目中清除了将近38个被恶意感染的JavaScript软件包,这些包都具备窃取用户环境变量信息的问题。
与此次Python的第三方库PyPI出现的SSH-Decorator后门事件类似,2017年,斯洛伐克国家安全办公室也曾发现,在PyPI库中存在十余款恶意的Python软件包,之后,这些软件包被Python官方迅速移除。
此次后门事件将开源软件安全性的讨论推向高峰,很多开发人员对此非常担忧。该事件中涉及SSH-Decorator的 0.28到0.31之间的版本都存在后门机制,如果你正在使用这些版本SSH-Decorator,请务必回退到0.27或以下的安全版本为好。
*参考来源:reddit,FreeBuf 小编 clouds 编译,转载请注明来自 FreeBuf.COM