恶意Python库被发现会窃取SSH和GPG密钥

最新推荐文章于 2020-05-20 15:19:27 发布
最新推荐文章于 2020-05-20 15:19:27 发布
阅读量198 收藏
点赞数

点击上方 "程序员小乐"关注, 星标或置顶一起成长

每天凌晨00点00分, 第一时间与你相约

每日英文

The worst way to miss someone is to be sitting right beside them knowing you can't have them.

失去某人最糟糕的莫过于,他近在身旁,却犹如远在天边。

每日掏心

世上只有一种英雄主义,就是认清生活,依然爱着生活;现在过的每一天,都是余生你最年轻的一天,请珍惜!

来自: 安全圈 | 责编:乐乐

链接:t.cn/AieSrSQp

程序员小乐(ID:study_tech)第 709 次推文   图片来自网络

往日回顾:所有程序员必知:2019年最流行的8种编程语言和框架!

   正文   

Python 安全团队从 PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建,利用名字相似的方法去模仿已知的流行库的:python3-dateutil 试图模仿流行的 dateutil 库,jeIlyfish 模仿 jellyfish 库。

德国开发者 Lukas Martini 上周日发现了这两个恶意库,在通知安全团队之后它们被立即移除。

Martini 称,恶意代码只存在于 jeIlyfish 中,python3-dateutil 本身不包含恶意代码,但它会导入 jeIlyfish 库。

dateutil 开发团队成员 Paul Ganssle 分析后认为,恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥,然后发送到一个 IP 地址。

文章来源:solidot

欢迎在留言区留下你的观点,一起讨论提高。如果今天的文章让你有新的启发,学习能力的提升上有新的认识,欢迎转发分享给更多人。

欢迎各位读者加入程序员小乐技术群,在公众号后台回复“加群”或者“学习”即可。

猜你还想看

阿里、腾讯、百度、华为、京东最新面试题汇集

Java 对象不再使用时,为什么要赋值为 Null ?

Java finally语句到底是在return之前还是之后执行?

Java 中的 SPI 机制是到底是什么?高级 Java 必须掌握!

关注「程序员小乐」,收看更多精彩内容

嘿,你在看吗

吧主
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
induction:一个 sshgpg 密钥代理管理系统
06-30
Induction 是一个 sshgpg-agent 套接字管理器,用于在主机上注册 ssh 密钥和用于安全消息传递的 gpg 密钥。 这个项目非常类似于 ,一个优秀的长期项目。 然而,归纳是一个广泛的 zsh 插件,鼓励跨服务器登录话...
python跳过GPG弹出窗口进行GPG解密
小东升职记
07-02 839
import gnupg gpg = gnupg.GPG(homedir='/root/.gnupg') filename='' outputPath='' stream=open(filename,'rb') data=gpg.decrypt_file(stream, always_trust=False, passphrase='解密密码', output=outputPath) ...
发现 2 个恶意 Python 第三方库,大家小心别中招!
codingpy的博客
12-06 567
库的名称肉眼很难区分,大家注意检查自己是否使用了里面提到的两个恶意库。Python 软件包索引(PyPI)中混入了两个 Python 软件包的恶意版本,目的是从 Python 开发人员的...
使用GPG签名你的commit
nwpushuai的博客
06-26 750
[git]使用GPG签名你的commit概述GPG是一种加密算法,现在github支持commit使用GPG加密,从而保证提交的commit在传输的过程中没有被篡改。一、生成GPG密钥什么是GPG:阮一峰的GPG教程安装GPG:brew install GPG生成GPG key:gpg --gen-key,根据提示,生成GPG key,注意:确保邮箱的那项是你github账号认证的邮箱;还有记住输...
主流开发语言存恶意库,支付宝安全实验室提醒开发者注意
alipaysecurity的博客
01-08 201
主流开发语言存恶意库,支付宝安全实验室提醒开发者注意 近日,支付宝天宸实验室发现在Python官方的第三方库下载网站上有三款第三方恶意库。当开发者安装使用时,可能被安装恶意程序。 这三个恶意库的链接如下: roels: https://pypi.org/project/reols(不要下载) req-tools: https://pypi.org/project/req-tools(不要下载) d...
PyPI 发现 3 个针对 Linux 服务器的恶意
Python开发者
07-21 193
(给Python开发者加星标,提升Python技能)来源:开源中国www.oschina.net/news/108412/pypi-malicious-python-li...
ssh-to-pgp:将SSH RSA密钥转换为GPG密钥
04-12
SSH RSA密钥转换为GPG密钥 用法 导出私有文件: $ ssh-to-pgp -private-key -i $HOME /.ssh/id_rsa -o private-key.asc 2504791468b153b8a3963cc97ba53d1919c5dfd4 导出公钥: $ ssh-to-pgp -i $HOME /.ssh/id...
Python库 | trezor-gpg-pinentry-tk-0.0.3.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:trezor-gpg-pinentry-tk-0.0.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python-一步一步指导如何在keybaseio上创建一个GPG密钥
08-10
一步一步指导如何在keybase.io上创建一个GPG密钥,将其添加到本地GPG设置然后与Git和GitHub一起使用它
Python库 | envoy.gpg.identity-0.0.7-py3-none-any.whl
05-31
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:envoy.gpg.identity-0.0.7-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
(转) GPG入门教程
weixin_30919919的博客
10-17 1144
转载至:http://www.ruanyifeng.com/blog/2013/07/gpg.html GPG入门教程 一、什么是GPG 要了解什么是GPG,就要先了解PGP。 1991年,程序员Phil Zimmermann为了避开政府监视,开发了加密软件PGP。这个软件非常好用,迅速流传开来,成了许多程序员的必备工具。但是,它是商业软件,不能自由使用。所以,自由软件基金...
完美解决窃取ssh private key问题
cnbird's blog
10-07 2477
http://packetstormsecurity.org/files/download/51780/sh2log-1.0.tgz 啥也不说了上工具,需要修改很多地方才能记录,相信难不倒各位
GPG入门笔记
chunyuan314的博客
08-15 8305
GPG入门笔记 0. 简介 GPG 是 GNU Privacy Guard的简写,是GNU对PGP技术的实现。PGP是Pretty Good Privacy的简写,是一套用于加密的软件。 PGP加密过程如下(来自维基百科 PGP): 1. GPG 的安装 1.1 linux命令行版本 以 CentOS为例: $ sudo yum install gpg 或者 $ su...
在Python3中使用ssh
weixin_33842328的博客
11-08 897
在python3中使用密钥文件方式的ssh。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 #encoding:utf-8 #author:walker #date:2017-03-29 #summ...
GPG 对文件加密
Cincinnati_De的博客
07-06 1271
看了很多博客,特别是关于python API 操作 GPG 的,真垃圾,掉坑里了。 最近项目在传输文件,需要进行加密、解密操作。 用我的代码就行 # coding=utf-8 """ Note! pip install pretty_bad_protocol """ import os class gpg_encrypt_decrypt...
gpg安装(加密解密)
乐杨俊浅谈LAMP
10-18 1732
一:背景介绍:      GPG这个加密解密工具其实用的很少,但在传统企业像银行系统与其交互上他们很多数据文件都是用gpg加密存储,防止数据外泄;(为了避开政府监视,开发了加密软件PGP。这个软件非常好用,迅速流传开来,成了许多程序员的必备工具。但是,它是商业软件,不能自由使用。所以,自由软件基金决定,开发一个PGP的替代品,取名为GnuPG。这就是GPG的由来。)      最近在对接民生...
常见加密类型及通信安全
热门推荐
hylexus的博客
11-05 1万+
声明 基本概念 1 中间人攻击 2 机密性 3 完整性 4 身份验证 5 抗抵赖性 6 怎么样才算安全的通信 单向加密 1 特征 2 常见算法 3 满足哪些安全特性 对称加密 1 特征 2 常见算法 3 满足哪些安全特性 IKE 1 秘钥交换过程 2 特征 非对称加密算法 1 特征 2 身份认证 3 常见算法 4 满足哪些安全特性 5 引入的问题 CACertification Authority
windows centos 使用 GPG 进行文件加密、解密功能 python 代码实现
m0_37932636的博客
05-20 1万+
1.安装必备环境 下载地址:地址 2.安装Python环境 由于使用的Python SDK调用,需安装对应的包: pip install python-gnupg 3.代码 生成密钥gpg = gnupg.GPG() gpg.encoding = 'utf-8' input_data = gpg.gen_key_input(passphrase="abcdefghi", name_real="test2", name_email="[email protected]..
docker gpg密钥
最新发布
08-10
Docker GPG 密钥用于验证和加密 Docker 镜像和其他相关文件。您可以使用以下步骤生成 Docker GPG 密钥: 1. 首先,确保您已经安装了 GPG 工具。如果没有,请根据您的操作系统下载并安装 GPG。 2. 打开终端或命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值