Sì, il software dannoso in esecuzione come utente può fare qualsiasi cosa tu possa fare come utente. Non esiste alcuna separazione privilegiata tra diverse applicazioni eseguite come lo stesso utente. Ciò è stato notato anche da xkcd .
Per proteggere in modo specifico la tua chiave SSH, puoi aggiungere una passphrase, come accennato da galoget, ma ciò aiuterà solo marginalmente - un programma dannoso potrebbe anche raccogliere la memoria quando la chiave è in uso o registrare le sequenze di tasti per la passphrase. (Anche se ci sono alcune attenuazioni per quegli attacchi.)
Un'opzione migliore è usare un token hardware di qualche tipo: io uso un Yubikey 4 con una chiave OpenPGP per l'autorizzazione SSH. Sebbene la mia chiave possa essere sfruttata male quando sbloccata, il materiale chiave non può essere rubato e viene sbloccato solo per un breve periodo di tempo. (È possibile impostare questo timeout su 0 vicino e richiedere l'interazione dell'utente per ciascun uso della chiave.)
Un'altra opzione è quella di memorizzare la tua chiave sotto un altro account utente e utilizzare su
per passare a quell'account prima di SSHing.
In ogni caso, se hai un software dannoso in esecuzione come tuo utente sul tuo computer, avrai un brutto momento.