Het PEAR team heeft ontdekt dat na de laatste release van hun software, dus na 20 decemer 2018, het bestand "go-pear.phar" is aangepast.

Na analyse van de aangepaste versie van de package manager, heeft het team gemerkt dat de kwaadaardige module een reverse shell aanmaakt via Perl. Deze maakt een verbinding vanaf de geïnfecteerde servers naar IP 104.131.154.154, waarmee de aanvallers complete controle krijgen over die servers, inclusief de mogelijkheid om applicaties te installeren, kwaadaardige code uit te voeren en gevoelige data te stelen.

Volgens het DCSO, een Duitse cybersecurity organisatie die de aangepaste module ook geanalyseerd heeft, verwijst het hierboven vermelde IP adres naar het domein bestlinuxgames[.]com wat hoogstwaarschijnlijk een gecompromiteerde host is, gebruikt door de aanvallers.

Via Twitter heeft het PEAR team het volgende gezegd in verschillende tweets:

• "This IP has been reported to its host in relation to the taint. No other breach was identified. The install-pear-nozlib.phar was ok. The go-pear.phar file at GitHub was ok and could be used as a good md5sum comparison for any suspect copies,"
• "So, if you downloaded go-pear.phar since 12/20 in order to run it once to install the PEAR package on your system, you should be concerned, particularly if your system has 'sh' and 'perl' available."
• "Also note that this does not affect the PEAR installer package itself... it affects the go-pear.phar executable that you would use to initially install the PEAR installer. Using the 'pear' command to install various PEAR package is not affected."