V balíčku Module-AutoLoad Perl byl zjištěn škodlivý kód
V balíku Perl distribuovaném prostřednictvím adresáře CPAN Modul-AutoLoad, navržený tak, aby automaticky načítal moduly CPAN za běhu, identifikované Škodlivý kód. Škodlivá vložka byla nalezeno v testovacím kódu 05_rcx.t, která je expedována od roku 2011.
Je pozoruhodné, že se objevily otázky týkající se načítání diskutabilního kódu stackoverflow zpět v roce 2016.
Škodlivá aktivita se scvrkává na pokus o stažení a spuštění kódu ze serveru třetí strany (http://r.cx:1/) během provádění testovací sady spuštěné při instalaci modulu. Předpokládá se, že kód původně stažený z externího serveru nebyl škodlivý, ale nyní je požadavek přesměrován na doménu ww.limera1n.com, která poskytuje svou část kódu ke spuštění.
Uspořádání stahování do souboru 05_rcx.t Používá se následující kód:
Tento skript se načte zmatený pomocí služby perlobfuscator.com kód z externího hostitele r.cx (kódy znaků 82.46.99.88 odpovídají textu "R.cX") a provede jej v bloku eval.
Problematický balíček byl nyní z úložiště odstraněn. PAUSE (Perl Authors Upload Server) a účet autora modulu je zablokován. V tomto případě modul stále zůstává k dispozici v archivu MetaCPAN a lze jej přímo nainstalovat z MetaCPAN pomocí některých nástrojů, jako je cpanminus. Je zaznamenánože balíček nebyl široce distribuován.
Zajímavé k diskusi připojeno a autor modulu, který popřel informaci, že škodlivý kód byl vložen poté, co byl hacknut jeho web „r.cx“ a vysvětlil, že se jen bavil, a nepoužil perlobfuscator.com, aby něco skryl, ale zmenšil velikost kódu a zjednodušení jeho kopírování přes schránku. Volba názvu funkce „botstrap“ je vysvětlena skutečností, že toto slovo „zní jako bot a je kratší než bootstrap“. Autor modulu také ujistil, že identifikované manipulace neprovádějí škodlivé akce, ale pouze demonstrují načítání a provádění kódu přes TCP.