Python 包 ssh-decorator 有后门

查看原文

这篇是 Reddit 上关于 ssh-decorator 这个有后门包的讨论。这个垃圾 Python 包居然堂而皇之地写了 urlopen('http://ssh-decorator.cf/index.php') 这样的代码,甚至尝试将扫描到的服务器的用户密码什么的发送到后台服务器去。就指着万一哪天有人不小心下了这个包就钓大鱼了。这个包的技术还是很低劣的,甚至没用上混淆什么的技术,太容易让人查出来。由于 PIP 不关心包的安全,应用开发的时候一定要注意每个包都要安全审核一下。