To Python-biblioteker har stjålet krypteringsnøgler

Illustration: Martin Valigursky / Bigstock
Ondsindede pakker til Python udgav sig for at være populære Python-biblioteker og stjal SSH- og GPG-nøgler fra projekter.

En hacker har gennem et år forsøgt at stjæle Python-udvikleres SSH- og GPG-nøgler til deres projekter ved at få udviklerne til at downloade hackerens Python-bibliotek med ondsindet kode i.

Det skriver ZDNet.

Hackeren uploadede to biblioteker, hvis navne imiterede de allerede populære Python-biblioteker »dateutil« og »jellyfish«.

Biblioteker fjernet

Den første hed »python3-dateutil«, mens den anden fik navnet »jeIlyfish« – hvor det første L i virkeligheden er et I.

Sikkerhedsteamet bag Python har fjernet de to biblioteker efter en advarsel fra en tysk softwareudvikler.

Men mens den ene pakke kun havde været tilgængelig til download i to dage, havde den anden, »jeIlyfish«, ligget på PyPI – Pythons lager til tredjepartssoftware – i næsten et år.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere