Неизвестные злоумышленники «угнали» домен perl[.]com, принадлежащий Тому Кристиансену (Tom Christiansen), который использует его с 1997 года для размещения новостей и статей о языке Perl.

Первым проблему с сайтом на прошлой неделе заметил его редактор Брайан Ди Фой, который написал в Twitter, что домен неожиданно оказался зарегистрирован неизвестным лицом.

Вскоре адвокат Джон Беррихилл, специализирующийся на вопросах интеллектуальной собственности, ответил на этот пост, сообщив, что домен был украден еще в сентябре 2020 года, когда он был связан с регистратором Network Solutions. Затем, во время рождественских праздников, домен был передан регистратору в Китае и, наконец, 27 января 2021 года он перешел к регистратору Key-Systems.  Только после этого IP-адрес, назначенный домену, был изменен с 151.101.2.132 на IP-адрес Google Cloud — 35.186.238 [.]101.

В настоящее время посетителей сайта встречает пустая страница, код которой содержит скрипты, характерные для припаркованного домена Godaddy, хотя на самом деле тот зарегистрирован у key-systems[.]net

Ди  Фой пишет, что пока контент perl[.]com был временно перенесен на https://perldotcom.perl.org/, и советует пока не использовать perl[.]com в качестве зеркала CPAN.

Также Ди Фой сообщил журналистам издания Bleeping Computer, что учетная запись владельца домена не была взломана, и сейчас эту проблему решают совместно со специалистами Network solutions и Key-Systems:

«Я напрямую общался с Network solutions и Key-Systems и знаю, что они работают над этим, и пока домен perl.com заблокирован. Том Кристиансен, его законный владелец, сейчас проходит процедуру восстановления [доступа], работая с этими регистраторами».

Интересно, что IP-адрес, который сейчас связан perl[.]com, давно используется в рамках вредоносных кампаний. Так, в 2019 году IP-адрес 35.186.238[.]101 был привязан к домену, распространяющему исполняемый файл для ныне не существующего шифровальщика Locky.  А недавно была замечена похожая на рекламный кликер малварь (VirusTotal), использующая управляющие серверы на www.supernetforme[.]com и www.superwebbysearch[.]com , и оба этих домена так же резолвились на 35.186.238[.]101.

Когда малварь пытается подключиться к URL-адресам этих доменов, она получает те же скрипты припаркованных доменов, которые в настоящее время используются на perl[.]com. Хотя эти HTML-ответы не и похожи на инструкции управляющего сервера, они могут свидетельствовать, о том, что данный IP-адрес находится под контролем другого злоумышленника.

Словом, пока посещать perl[.]com настоятельно не рекомендуется, пока домен не вернется под контроль Perl Foundation.

Оставить мнение