Johnathan Swift er nok mest berømt for sin roman Gullivers rejser, hvor fortælleren, Lemuel Gulliver, støder på et sociopolitisk skisma i det liiliputske samfund forårsaget af uendelige argumenter om, hvorvidt man skal åbne et kogt æg i den store ende eller den lille ende.
Denne satiriske observation er strømmet direkte ind i moderne computervidenskab, med CPU'er, der repræsenterer heltal med de mindst signifikante bytes ved de laveste hukommelsesadresser kaldet little-endian (det er som at skrive året 1984 e.Kr. som 4 8 9 1
, i sekvensenhederne-ti-hundrede-tusinder), og dem, der sætter de mest signifikante bytes først i hukommelsen (som tal er konventionelt skrevet: 1 9 8 4
) kendt som stor endian.
Swift gav os selvfølgelig en anden satirisk note, der gælder ret pænt for open source-forsyningskædeangreb, hvor programmører beslutter sig for at bruge projekt X, kun for at finde ud af, at X afhænger af Y, som i sig selv afhænger af Z, som afhænger af A, B og C, som igen...
...du får billedet.
Den observation kom i en række bemærkninger om digtere, der passende nok optrådte i et digt:
Så, observerer nat'ralister, en loppe har mindre lopper, som forbyder ham, og disse har mindre, som endnu ikke har bidt dem, og så fortsætter i det uendelige
Vi er ikke sikre, men vi gætter på, at det store vokalskifte stadig ikke var fuldført i slutningen af 1600-tallet og begyndelsen af 1700-tallet, og at -EA
med Swifts ord Flea blev udtalt dengang, som vi stadig, ret ejendommeligt, udtaler den -EY
in bytte i dag. Således ville digtet blive læst op med lyden flay at rime på bede. (Denne E-used-to-be-A-virksomhed er derfor, briterne stadig siger DARBY
når de læser stednavnet Derby eller BARKSHIRE
når de besøger Royal Berkshire.)
Loppestable betragtes som skadeligt
Vi har derfor vænnet os til tanken om, at useriøst indhold, der uploades til open source-pakkedepoter, generelt har til formål at injicere sig selv ubemærket ind i "loppestakkene" af kodeafhængigheder, som nogle produkter utilsigtet downloader, når de opdateres automatisk.
Men forskere ved forsyningskædens sikkerhedstest udstyrede Checkmarx for nylig advarede om et meget mindre sofistikeret, men potentielt meget mere påtrængende, misbrug af populære depoter: som phishing-link "omdirigerere".
Forskere lagde mærke til hundredvis af onlineejendomme, såsom WordPress-blogsider, der var fyldt med fup-opslag...
…der linkede til tusindvis af URL'er hostet i NPM-pakkelageret.
Men disse "pakker" eksisterede ikke til at udgive kildekode.
De eksisterede blot som pladsholdere for README
filer, der indeholdt de sidste links, som skurkene ønskede, at folk skulle klikke på.
Disse links inkluderer typisk henvisningskoder, der ville give svindlerne en beskeden belønning, selvom den person, der klikkede igennem, gjorde det blot for at se, hvad i alverden der foregik.
NPM-pakkenavnene var ikke ligefrem subtile, så du burde få øje på dem.
Heldigvis lykkedes det for skurke (utilsigtet, antager vi) at inkludere deres liste over giftige pakker i en af deres uploads.
Checkmarx har derfor udgivet en liste indeholdende mere end 17,000 unikke falske navne, hvoraf kun en lille prøve (en hver for de første par bogstaver i alfabetet) viser dig, hvilken slags "varer og tjenester", disse skurke hævder at tilbyde:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx udgav også en liste af tæt på 200 websider, hvor der var blevet publiceret indlæg, der promoverede og linkede til disse falske NPM-pakker.
Det lyder som om, at svindlerne allerede havde brugernavne og adgangskoder til nogle af disse websteder, hvilket gjorde det muligt for dem at skrive som navngivne eller på anden måde "betroede" brugere og anmeldere.
Men ethvert websted med umodererede eller dårligt modererede kommentarer kan være spækket anonymt med denne form for useriøse link, så bare at tvinge alle dine fællesskabsmedlemmer til at oprette en konto på dit websted er ikke i sig selv nok til at kontrollere denne form for misbrug.
Det er overraskende nemt at oprette klikbare links i mange, hvis ikke de fleste, online kildekodelagre og følger automatisk udseendet og fornemmelsen af webstedet som helhed.
Du behøver ikke engang at oprette fuldt udbyggede HTML-layouts eller CSS-sidestile – normalt opretter du bare en fil i dit projekts rodmappen kaldet README.md
.
Udvidelsen .md
er en forkortelse for markdown, et super-let at bruge tekstmarkeringssprog (se hvad de gjorde der?), der erstatter de komplekse vinkelparentes-tags og attributter i HTML med simple tekstannoteringer.
For at gøre tekst fed i Mardown skal du bare sætte stjerner rundt om den, så **this bit**
ville være dristig. For afsnit efterlader du blot tomme linjer. For at oprette et link skal du blot sætte noget tekst i firkantede parenteser og følge det med en URL i runde parenteser. For at vise et billede fra en URL i stedet for at oprette klikbar tekst til det, skal du sætte et udråbstegn foran linket og så videre.
Hvad skal jeg gøre?
- Klik ikke på "gratis"-links, selvom du finder ud af, at du er interesseret eller fascineret. Du ved ikke, hvor du ender, men det vil sandsynligvis være i fare. Du kan meget vel også skabe falsk pay-per-click-trafik til skurkene, og selvom beløbet for hvert klik kan være minimalt, hvorfor give cyberkriminelle noget, hvis du kan hjælpe det?
- Udfyld ikke online-undersøgelser, uanset hvor harmløse de virker. Checkmarx rapporterede, at mange af disse links ender med undersøgelser og andre "tests" for at kvalificere dig til "gaver" af en slags. Omfanget og bredden af denne svindeløvelse er en god påmindelse om, at falske "undersøgelser", som hver især beder om små og tilsyneladende ubetydelige mængder information om dig, ikke indsamler disse data uafhængigt. Det hele ender med at blive samlet i en enorm bøtte PII (personlig identificerbar information), der i sidste ende giver meget mere væk fra dig, end du kunne forvente. At udfylde undersøgelser giver gratis assistance til den næste bølge af svindlere, så hvorfor hvorfor give cyberkriminelle noget, hvis du kan hjælpe det?
- Kør ikke blogs eller fællesskabswebsteder, der tillader ikke-modererede indlæg eller kommentarer. Du behøver ikke tvinge alle til at oprette en adgangskode, hvis du ikke vil, men du bør kræve, at et betroet menneske godkender hver kommentar. Hvis du ikke kan håndtere mængden af kommentarspam (som kan være enorm – selvom de fleste bloggingtjenester har filtreringsværktøjer, der kan hjælpe dig med at slippe af med det meste af det automatisk), skal du slå kommentarer fra. Et falsk link i en kommentar er i bund og grund en gratis tjeneste til svindlere, så hvorfor give cyberkriminelle noget, hvis du kan hjælpe det?
Husk…
...tænk før du klikkerog hvis du er i tvivl, så giv det ikke ud!
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- Om
- absolutte
- misbrug
- Konto
- Ad
- adresser
- målsætninger
- Alle
- Alfabet
- allerede
- beløb
- ,
- anonymt
- En anden
- dukkede
- passende
- Godkend
- argumenter
- Assistance
- Angreb
- attributter
- forfatter
- auto
- automatisk
- background-billede
- før
- Big
- blank
- Blogging
- blogs
- pin
- grænse
- Bund
- bredde
- Britiske
- virksomhed
- kaldet
- forårsagede
- center
- kæde
- checkmarx
- krav
- Luk
- kode
- Indsamling
- farve
- KOMMENTAR
- kommentarer
- samfund
- fuldføre
- komplekse
- computer
- Datalogi
- betragtes
- indhold
- kontrol
- kunne
- kursus
- dæksel
- skabe
- Oprettelse af
- Crooks
- CSS
- cyberkriminelle
- data
- afhænger
- DID
- Skærm
- gør
- Dont
- tvivler
- downloade
- i løbet af
- hver
- Tidligt
- jorden
- ender
- nok
- væsentlige
- Endog
- Hver
- alle
- præcist nok
- Dyrke motion
- forvente
- udvidelse
- falsk
- berømt
- få
- File (Felt)
- Filer
- udfylde
- filtrering
- endelige
- Finde
- Fornavn
- følger
- følger
- Tving
- Gratis
- fra
- forsiden
- generelt
- få
- gave
- GitHub
- Giv
- giver
- gå
- godt
- stor
- håndtere
- højde
- hjælpe
- hostede
- hover
- Hvordan
- HTML
- HTTPS
- kæmpe
- menneskelig
- Hundreder
- idé
- billede
- in
- omfatter
- medtaget
- Herunder
- uafhængigt
- oplysninger
- i stedet
- interesseret
- IT
- selv
- JavaScript
- Kend
- kendt
- Sprog
- Sent
- Forlade
- linjer
- LINK
- forbundet
- links
- Liste
- lidt
- lave
- lykkedes
- mange
- Margin
- Matter
- max-bredde
- Medlemmer
- Hukommelse
- måske
- Moderne
- mere
- mest
- Som hedder
- navne
- Behov
- netto
- næste
- normal
- roman
- numre
- observere
- tilbyde
- ONE
- online
- åbent
- open source
- Andet
- Ellers
- pakke
- pakker
- Adgangskode
- Nulstilling/ændring af adgangskoder
- paul
- Mennesker
- person,
- Personligt
- Phishing
- billede
- PIO
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- Populær
- position
- Indlæg
- Indlæg
- potentielt
- sandsynligvis
- Produkter
- Programmører
- projekt
- fremmes
- egenskaber
- offentliggøre
- offentliggjort
- sætte
- kvalificere
- Læs
- for nylig
- Henvisning
- rapporteret
- Repository
- repræsentere
- kræver
- forskere
- Beløn
- Rid
- rod
- rundt
- Kør
- Scale
- Snydere
- Videnskab
- sikkerhed
- sikkerhedstest
- Series
- tjeneste
- Tjenester
- skifte
- Kort
- bør
- Shows
- signifikant
- Simpelt
- ganske enkelt
- websted
- Websteder
- lille
- mindre
- So
- Samfund
- solid
- nogle
- sofistikeret
- Lyd
- Kilde
- kildekode
- spam
- Spot
- firkant
- Stakke
- Stjerner
- Stadig
- sådan
- forsyne
- forsyningskæde
- SVG
- SWIFT
- Test
- deres
- derfor
- tusinder
- Gennem
- til
- i dag
- værktøjer
- top
- Trafik
- overgang
- gennemsigtig
- betroet
- TUR
- typisk
- Ultimativt
- enestående
- opdatering
- uploadet
- URL
- us
- brug
- brugere
- sædvanligvis
- bind
- ønskede
- Wave
- web
- Hvad
- hvorvidt
- som
- vilje
- ord
- WordPress
- ville
- skrivning
- skriftlig
- X
- år
- Din
- zephyrnet