jeIlyfish 和 jellyfish，你能区分哪个是 PyPI 上的伪造库吗？-低调大师

jeIlyfish 和 jellyfish，你能区分哪个是 PyPI 上的伪造库吗？

2019-12-05 817

Python 软件包索引（PyPI）中引入了两个 Python 软件包的恶意版本，目的是从 Python 开发人员的项目中窃取 SSH 和 GPG 密钥。

PyPI 是 Python 社区创建和共享的软件集，类似于应用中心。

其中一个恶意库通过使用域名抢注来模拟合法库，它的名称为“python3-dateutil”，是对“dateutil”这个软件包的模仿，带有标准 Python datetime 模块的扩展。

python3-dateutil 本身不包含危险代码，但包含导入名为“jeIlyfish”（注意，第一个“L”实际上是“I”）的软件包的语句，而这是“jellyfish ”库的伪造版本。这个伪造的库是从 GitLab 的仓库中下载的，它混淆了代码，该代码收集了 SSH 和 GPG 密钥以及受感染系统上的目录列表，并将其发送给攻击者。

自 2018 年 12 月 11 日以来，PyPI 中一直存在恶意的“jeIlyfish”。

德国开发人员 Lukas Martini 于 12 月 1 日发现了这两个库，并向 Python 安全团队报告，几个小时后，团队便采取了行动将其删除。

提醒使用“dateutil”和“jellyfish”的开发者，都检查一下是否导入或下载了不正确的软件包。

来源：https://www.bleepingcomputer.com/news/security/malicious-python-package-available-in-pypi-repo-for-a-year

微信关注我们

原文链接：https://www.oschina.net/news/111859/fake-jellyfish

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Canonical 为 AWS 推出了长达十年支持的 Ubuntu Pro

Canonical 昨天宣布为亚马逊提供用于 Amazon Web Services (AWS) 的 Ubuntu Pro 镜像。这个新镜像可通过 AWS Marketplace 获取，涵盖Ubuntu 14.04 LTS, 16.04 LTS 和 18.04 LTS 版本，企业只需在 Amazon Elastic Compute Cloud (Amazon EC2) 上选择并运行映像即可使用。由于 Ubuntu Pro 是面向云的产品，因此它会在Ubuntu 的基础上提供针对云领域企业部署的额外功能。 Ubuntu Pro 的主要特性如下：提供十年的软件包更新和安全维护 KernelLivepatch，无需重启即可应用内核安全更新，从而能保证安装连续的安全补丁，以及拥有更长的正常运行时间和更高的可用性使用定制的 FIPS 和通用的 EAL 兼容组件，用于 FedRAMP, PCI, HIPAA 和 ISO 等合规制度下的环境 Ubuntu 基础设施和应用程序仓库的补丁程序覆盖了数百个开源项目，包括Apache Kafka, MongoDB, Node.js, RabbitMQ 和...

2019-12-05

731

1.前言 JSON Web Token (JWT) 其实目前已经广为软件开发者所熟知了，但是 JOSE (Javascript Object Signing and Encryption) 却鲜有人知道，我第一次知道它是在 Spring Security 的官方文档中，它改变了我对 JWT 的一些认识。目前国内能找到相关中文资料不是太多。所以我觉得有必要归纳一下。 2. JOSE 概述 JOSE 是一种旨在提供在各方之间安全传递声明（claims）的方法的规范集。我们常用的 JWT 就包含了允许客户端访问特定应用下特定资源的声明。JOSE 制定了一系列的规范来达到此目的。目前该规范还在不断的发展，我们常用的包含以下几个 RFC : JWS（RFC 7515） -JSON Web签名，描述生成和处理签名消息 JWE（RFC 7516） -JSON Web加密，描述了保护和处理加密消息 JWK（RFC 7517） -JSON Web密钥，描述 Javascript 对象签名和加密中加密密钥的格式和处理 JWA（RFC 7518） -JSON Web算法，描述了 Javascript 对...

2019-12-04

581

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。