మాడ్యూల్-ఆటోలోడ్ పెర్ల్ ప్యాకేజీలో హానికరమైన కోడ్ కనుగొనబడింది
CPAN డైరెక్టరీ ద్వారా పంపిణీ చేయబడిన పెర్ల్ ప్యాకేజీలో మాడ్యూల్-ఆటోలోడ్, ఫ్లైలో CPAN మాడ్యూల్లను స్వయంచాలకంగా లోడ్ చేయడానికి రూపొందించబడింది, గుర్తించబడింది హానికరమైన కోడ్. హానికరమైన ఇన్సర్ట్ ఉంది కనుగొన్నారు పరీక్ష కోడ్లో 05_rcx.t, ఇది 2011 నుండి షిప్పింగ్ చేయబడుతోంది.
సందేహాస్పద కోడ్ను లోడ్ చేయడంపై ప్రశ్నలు తలెత్తడం గమనార్హం Stackoverflow తిరిగి 2016లో.
మాడ్యూల్ను ఇన్స్టాల్ చేస్తున్నప్పుడు ప్రారంభించబడిన టెస్ట్ సూట్ను అమలు చేసే సమయంలో మూడవ పక్ష సర్వర్ (http://r.cx:1/) నుండి కోడ్ను డౌన్లోడ్ చేసి, అమలు చేసే ప్రయత్నంలో హానికరమైన కార్యాచరణ తగ్గుతుంది. బాహ్య సర్వర్ నుండి ప్రారంభంలో డౌన్లోడ్ చేయబడిన కోడ్ హానికరమైనది కాదని భావించబడుతుంది, కానీ ఇప్పుడు అభ్యర్థన ww.limera1n.com డొమైన్కు మళ్లించబడింది, ఇది అమలు కోసం కోడ్లో దాని భాగాన్ని అందిస్తుంది.
ఫైల్లో డౌన్లోడ్ను నిర్వహించడానికి 05_rcx.t కింది కోడ్ ఉపయోగించబడుతుంది:
నా $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
నా $ప్రయత్నం = `$^X $prog`;
పేర్కొన్న కోడ్ స్క్రిప్ట్ను అమలు చేయడానికి కారణమవుతుంది ../contrib/RCX.pl, ఇందులోని విషయాలు పంక్తికి తగ్గించబడ్డాయి:
ఈ స్క్రిప్ట్ లోడ్ అవుతుంది గందరగోళం సేవను ఉపయోగించడం perlobfuscator.com బాహ్య హోస్ట్ r.cx నుండి కోడ్ (క్యారెక్టర్ కోడ్లు 82.46.99.88 "R.cX" టెక్స్ట్కు అనుగుణంగా ఉంటాయి) మరియు దానిని eval బ్లాక్లో అమలు చేస్తుంది.
సమస్యాత్మక ప్యాకేజీ ఇప్పుడు రిపోజిటరీ నుండి తీసివేయబడింది. పాజ్ చేయండి (Perl Authors Upload Server), మరియు మాడ్యూల్ రచయిత ఖాతా బ్లాక్ చేయబడింది. ఈ సందర్భంలో, మాడ్యూల్ ఇప్పటికీ మిగిలి ఉంది అందుబాటులో ఉంది MetaCPAN ఆర్కైవ్లో మరియు cpanminus వంటి కొన్ని యుటిలిటీలను ఉపయోగించి MetaCPAN నుండి నేరుగా ఇన్స్టాల్ చేయవచ్చు. ఇది గుర్తించబడిందిప్యాకేజీని విస్తృతంగా పంపిణీ చేయలేదని.
చర్చించడం ఆసక్తికరంగా ఉంది కనెక్ట్ చేయబడింది మరియు మాడ్యూల్ రచయిత, తన సైట్ "r.cx" హ్యాక్ చేయబడిన తర్వాత హానికరమైన కోడ్ చొప్పించబడిందనే సమాచారాన్ని తిరస్కరించాడు మరియు అతను సరదాగా ఉన్నానని వివరించాడు మరియు perlobfuscator.comని ఉపయోగించినది ఏదైనా దాచడానికి కాదు, కానీ పరిమాణాన్ని తగ్గించడానికి కోడ్ యొక్క మరియు క్లిప్బోర్డ్ ద్వారా దాని కాపీని సులభతరం చేయడం. "బోట్స్ట్రాప్" అనే ఫంక్షన్ పేరు యొక్క ఎంపిక ఈ పదం "బోట్ లాగా ఉంటుంది మరియు బూట్స్ట్రాప్ కంటే తక్కువగా ఉంటుంది" అనే వాస్తవం ద్వారా వివరించబడింది. గుర్తించబడిన అవకతవకలు హానికరమైన చర్యలను చేయవని మాడ్యూల్ రచయిత హామీ ఇచ్చారు, అయితే TCP ద్వారా కోడ్ యొక్క లోడ్ మరియు అమలును మాత్రమే ప్రదర్శిస్తారు.