[pyar] Backdoor en el paquete ssh-decorator

Gonz Rafuls grafuls en gmail.com
Jue Mayo 24 04:33:08 -03 2018


El 9 de mayo de 2018, 3:51, Tordek <kedrot en gmail.com> escribió:

> En el thread de reddit[1] donde lo descubrieron alguien menciona que
> en el historial del repo de GH no están las líneas relevantes.
>
> > I browsed the blame and commit history of the github repo and couldn't
> find the offending lines. It seems to me that ugoren's pypi password was
> compromised.
>

Esto me genera mucha desconfianza a la hora de instalar paquetes para mis
proyectos desde pypi.
Me pregunto si refactorizar todos mis requirements.txt a usar GitHub
sources directamente en lugar de pypi seria una buena idea.


>
> De paso, para los que no entraron a tiempo al repo, el autor puso un
> prqueño aviso al principio:
>
> > Important note !
>
> > It has been brought to our attention, that previous versions of this
> module had been hijacked and uploaded to PyPi unlawfully. Make sure you
> look at the code of this package (or any other package that asks for your
> credentials) prior to using it.
>
>
> [1] https://www.reddit.com/r/Python/comments/8hvzja/
> backdoor_in_sshdecorator_package/
>
> 2018-05-08 22:26 GMT-03:00 Emiliano Dalla Verde Marcozzi
> <edvm en fedoraproject.org>:
> > El 8 de mayo de 2018, 19:32, Federico Jurio <fdjurio en gmail.com>
> escribió:
> >>
> >> Si están usando ssh-decorator en alguno de sus proyectos revisen si no
> >> tienen alguna versión con esta falla de seguridad
> >> https://i.redd.it/zu0guck3cmw01.png que roba las credenciales ssh.
> >>
> >> El paquete ya fue removido de PyPi y en el repo dejaron una nota al
> >> respecto https://github.com/urigoren/ssh_decorator
> >>
> >> Saludos
> >
> >
> > Durisimo! Veo dieron de baja el package de Pypi y borraron el repo de
> > github.
> > Me llama la atención que a donde hacia el post de los datos de las
> > credenciales,
> > el domain también es `ssh-decorate.cf`. Lo habrá hecho el owner del
> > proyecto?
> > Bajón borraron el repo de GH, no podemos usar `blame` para saber quien
> > agrego
> > esas lineas.
> > Gracias por la data!
> >
> > --
> > --
> > iex(1)> [104, 116, 116, 112, 58, 47, 47, 103, 105, 116, 104, 117, 98, 46,
> > 99, 111, 109,
> > 47, 101, 100, 118, 109]
> > https://e-dvm.blogspot.com
> >
> > _______________________________________________
> > Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> > Sitio web: http://www.python.org.ar/
> >
> > Para administrar la lista (o desuscribirse) entrar a
> > http://listas.python.org.ar/listinfo/pyar
> >
> > La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> > Argentina - http://www.usla.org.ar
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180524/9bb7f740/attachment.html>


Más información sobre la lista de distribución pyar