สำนักข่าว ZDNet รายงานว่าทีมรักษาความปลอดภัยของ Python ได้ลบ 2 ไลบรารีออกจาก PyPI (Python Package Index) หลังจากตรวจสอบพบว่าสองไลบรารีนี้แอบขโมย SSH และกุญแจ GPG เมื่อวันที่ 1
โดยทั้งสองไลบรารีนี้พัฒนามาจากนักพัฒนาคนเดียวกันชื่อ olgired2017 แถมใช้ชื่อไลบรารีคล้ายกับไลบรารีดัง
ไลบรารีที่เป็นปัญหามีดังนี้
- python3-dateutil เลียนแบบไลบรารีดังที่ชื่อ dateutil
- jeIlyfish ใช้การสะกดผิดให้คล้ายกับไลบรารีดังที่ชื่อ jellyfish
pip list --format columns
ถ้าเจอสองไลบรารีดังกล่าว ให้รีบลบไลบรารีเหล่านี้ทิ้งด้วยคำสั่ง
pip uninstall python3-dateutil jeIlyfish
แล้วเปลี่ยน SSH และกุญแจ GPG พร้อมกับสแกนไวรัสให้เรียบร้อยที่มา : Two malicious Python libraries caught stealing SSH and GPG keys | ZDNet
0 ความคิดเห็น:
แสดงความคิดเห็น
แสดงความคิดเห็นได้ครับ :)