Johnathan Swift es probablemente más famoso por su novela Viajes de Gulliver, durante el cual el narrador, Lemuel Gulliver, se encuentra con un cisma sociopolítico en la sociedad liliputiense causado por interminables discusiones sobre si se debe abrir un huevo cocido por el extremo grande o el pequeño.
Esta observación satírica ha fluido directamente a la informática moderna, con CPU que representan números enteros con los bytes menos significativos en las direcciones de memoria más bajas llamadas ascendente hacia la izquierda (eso es como escribir el año AD 1984 como 4 8 9 1
, en la secuencia unidades-decenas-centenas-miles), y aquellos que colocan los bytes más significativos primero en la memoria (como los números se escriben convencionalmente: 1 9 8 4
) conocido como big endian.
Swift, por supuesto, nos dio otra nota satírica que se aplica bastante bien a los ataques de cadena de suministro de código abierto, donde los programadores deciden usar el proyecto X, solo para descubrir que X depende de Y, que a su vez depende de Z, que depende de A, B y C, que a su vez…
…te dan la imagen.
Esa observación vino en una serie de comentarios sobre poetas que aparecieron, apropiadamente, en un poema:
Entonces, observan los naturalistas, una pulga tiene pulgas más pequeñas que en él presa, y estas tienen aún más pequeñas para morderlas, y así proceder ad infinitum
No estamos seguros, pero suponemos que el Gran Cambio de Vocales aún no estaba completo a fines del siglo XVII y principios del XVIII, y que el -EA
en palabras de Swift Pulga fue pronunciado entonces como todavía, bastante peculiarmente, pronunciamos el -EY
in presa hoy. Así el poema sería leído en voz alta con el sonido despellejar rimar con orar. (Este negocio E-solía-ser-A es la razón por la cual los británicos todavía dicen DARBY
cuando leen el nombre del lugar Derbyo BARKSHIRE
cuando visitan Berkshire real.)
Pilas de pulgas consideradas dañinas
Por lo tanto, nos hemos acostumbrado a la idea de que el contenido malicioso cargado en repositorios de paquetes de código abierto generalmente tiene como objetivo pasar desapercibido en las "pilas de pulgas" de dependencias de código que algunos productos descargan sin darse cuenta cuando se actualizan automáticamente.
Pero los investigadores del equipo de pruebas de seguridad de la cadena de suministro Checkmarx recientemente prevenido sobre un abuso mucho menos sofisticado, pero potencialmente mucho más intrusivo, de repositorios populares: como "redireccionadores" de enlaces de phishing.
Los investigadores notaron cientos de propiedades en línea, como sitios de blogs de WordPress que habían estado plagados de publicaciones que parecían estafas...
…que se vinculaba a miles de URL alojadas en el repositorio de paquetes de NPM.
Pero esos “paquetes” no existían para publicar el código fuente.
Existían simplemente como marcadores de posición para README
archivos que incluían los enlaces finales en los que los delincuentes querían que la gente hiciera clic.
Estos enlaces generalmente incluyen códigos de referencia que les darían a los estafadores una recompensa modesta, incluso si la persona que hizo clic lo hizo simplemente para ver qué estaba pasando.
Los nombres de los paquetes de NPM no eran exactamente sutiles, por lo que debería detectarlos.
Afortunadamente, los ladrones (sin darse cuenta, suponemos) lograron incluir su lista de paquetes venenosos en una de sus cargas.
Por lo tanto, Checkmarx ha publicado un lista que contiene más de 17,000 nombres falsos únicos, de los cuales solo una pequeña muestra (una para cada una de las primeras letras del alfabeto) le muestra qué tipo de "bienes y servicios" afirman ofrecer estos delincuentes:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx también publicó un lista de cerca de 200 páginas web en las que se habían publicado publicaciones que promovían y vinculaban estos paquetes NPM falsos.
Parece que los estafadores ya tenían nombres de usuario y contraseñas para algunos de estos sitios, lo que les permitía publicar como usuarios y revisores designados o "de confianza".
Pero cualquier sitio con comentarios no moderados o mal moderados podría verse salpicado de forma anónima con este tipo de enlace malicioso, por lo que obligar a todos los miembros de su comunidad a crear una cuenta en su sitio no es suficiente para controlar este tipo de abuso.
La creación de enlaces en los que se puede hacer clic en muchos repositorios de código fuente en línea, si no en la mayoría, es sorprendentemente fácil y sigue automáticamente la apariencia del sitio como un todo.
Ni siquiera necesita crear diseños HTML completos o estilos de página CSS; por lo general, solo crea un archivo en el directorio raíz de su proyecto llamado README.md
.
La extensión .md
es la abreviatura de Reducción, un lenguaje de marcado de texto súper fácil de usar (¿ves lo que hicieron allí?) que reemplaza las complejas etiquetas y atributos de paréntesis angulares de HTML con anotaciones de texto simples.
Para poner el texto en negrita en Mardown, solo coloque estrellas alrededor, de modo que **this bit**
sería audaz. Para los párrafos, simplemente deje líneas en blanco. Para crear un enlace, simplemente coloque algo de texto entre corchetes y siga con una URL entre corchetes. Para mostrar una imagen de una URL en lugar de crear texto en el que se pueda hacer clic, coloque un signo de exclamación delante del enlace, y así sucesivamente.
¿Qué hacer?
- No haga clic en los enlaces "gratis", incluso si descubre que está interesado o intrigado. No sabes dónde terminarás, pero probablemente estará en peligro. Es posible que también esté creando tráfico de pago por clic falso para los delincuentes y, aunque la cantidad por cada clic puede ser minúscula, ¿por qué regalar algo a los ciberdelincuentes si puede evitarlo?
- No complete encuestas en línea, no importa cuán inofensivas parezcan. Checkmarx informó que muchos de estos enlaces terminan con encuestas y otras "pruebas" para calificarlo para "regalos" de algún tipo. La escala y el alcance de este ejercicio de estafa es un buen recordatorio de que las "encuestas" falsas que solicitan fragmentos pequeños y aparentemente intrascendentes de información sobre usted no recopilan esos datos de forma independiente. Todo termina recopilado en un gran cubo de PII (información de identificación personal) que finalmente revela mucho más de lo que podría esperar. Completar encuestas brinda asistencia gratuita a la próxima ola de estafadores, entonces, ¿por qué regalar algo a los ciberdelincuentes si puede ayudarlo?
- No publique blogs o sitios comunitarios que permitan publicaciones o comentarios no moderados. No tiene que obligar a todos a crear una contraseña si no lo desea, pero debe requerir que un ser humano de confianza apruebe cada comentario. Si no puede manejar el volumen de spam de comentarios (que puede ser enorme, aunque la mayoría de los servicios de blogs tienen herramientas de filtrado que pueden ayudarlo a deshacerse de la mayor parte de forma automática), desactive los comentarios. Un enlace falso en un comentario es esencialmente un servicio gratuito para los estafadores, entonces, ¿por qué regalar algo a los ciberdelincuentes si puede evitarlo?
Recuerda…
...Piense antes de hacer clicy en caso de duda, no lo des!
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- Nuestra Empresa
- Absoluto
- abuso
- Mi Cuenta
- Ad
- direcciones
- paquete de capacitación DWoVH
- Todos
- Alphabet
- ya haya utilizado
- cantidad
- y
- Anónimamente
- Otra
- Aparecido
- adecuadamente
- aprobar
- argumentos
- Ayuda
- ataques
- atributos
- autor
- auto
- automáticamente
- background-image
- antes
- Big
- en blanco
- Blogging
- Blogs
- frontera
- Fondo
- amplitud
- Autoridad Británica
- , que son
- causado
- Reubicación
- cadena
- Checkmarx
- reclamo
- Cerrar
- código
- El cobro
- Color
- comentario
- comentarios
- vibrante e inclusiva
- completar
- integraciones
- computadora
- Ciencias de la Computación
- considerado
- contenido
- control
- podría
- curso
- Protectora
- Para crear
- Creamos
- Crooks
- CO
- ciberdelincuentes
- datos
- depende
- HIZO
- Pantalla
- "Hacer"
- No
- duda
- descargar
- durante
- cada una
- Temprano en la
- tierra
- termina
- suficientes
- esencialmente
- Incluso
- Cada
- todos
- exactamente
- Haz ejercicio
- esperar
- extensión
- falso
- famoso
- pocos
- Archive
- archivos
- llenar
- filtración
- final
- Encuentre
- Nombre
- seguir
- siguiente
- FORCE
- Gratis
- Desde
- frontal o trasero
- en general
- obtener
- donación
- GitHub
- Donar
- da
- va
- candidato
- maravillosa
- encargarse de
- altura
- ayuda
- organizado
- flotar
- Cómo
- HTML
- HTTPS
- enorme
- humana
- Cientos
- idea
- imagen
- in
- incluir
- incluido
- Incluye
- independientemente
- información
- interesado
- IT
- sí mismo
- JavaScript
- Saber
- conocido
- idioma
- Tarde
- Abandonar
- líneas
- LINK
- vinculado
- enlaces
- Lista
- pequeño
- para lograr
- gestionado
- muchos
- Margen
- Materia
- max-ancho
- Miembros
- Salud Cerebral
- podría
- Moderno
- más,
- MEJOR DE TU
- Llamado
- nombres
- ¿ Necesita ayuda
- red
- Next
- normal
- novela
- números
- observar
- LANZAMIENTO
- ONE
- en línea
- habiertos
- de código abierto
- Otro
- de otra manera
- paquete
- paquetes
- Contraseña
- contraseñas
- Paul
- Personas
- persona
- Personalmente
- suplantación de identidad
- imagen
- pii
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- punto
- Popular
- posición
- Publicación
- Artículos
- la posibilidad
- probablemente
- Productos
- Programador
- proyecto
- Promovido
- propiedades
- publicar
- publicado
- poner
- calificar
- Leer
- recientemente
- Programa de referencia
- reportado
- repositorio
- representar
- exigir
- investigadores
- Gana dinero
- Eliminar
- raíz
- redondo
- Ejecutar
- Escala
- Los estafadores
- Ciencia:
- EN LINEA
- pruebas de seguridad
- Serie
- de coches
- Servicios
- Turno
- En Corto
- tienes
- Shows
- importante
- sencillos
- simplemente
- página web
- Sitios Web
- chica
- menores
- So
- Sociedades
- sólido
- algo
- sofisticado
- Aislamiento de Sonido
- Fuente
- código fuente
- correo no deseado (spam)
- Spot
- cuadrado
- Stacks
- Estrellas
- Sin embargo
- tal
- suministro
- cadena de suministro
- SVG
- SWIFT
- Pruebas
- La
- su
- por lo tanto
- miles
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- hoy
- parte superior
- tráfico
- transición
- transparente
- de confianza
- GIRO
- típicamente
- Finalmente, a veces
- único
- actualización
- subido
- Enlance
- us
- utilizan el
- usuarios
- generalmente
- volumen
- deseado
- Trenzado
- web
- ¿
- sean
- que
- seguirá
- Palabra
- WordPress
- se
- la escritura
- escrito
- X
- año
- tú
- zephyrnet