Johnathan Swift on ilmselt kõige kuulsam oma romaani poolest Gulliveri reisid, mille käigus jutustaja Lemuel Gulliver põrkub Liiliputi ühiskonnas ühiskondlik-poliitilise lõhega, mille põhjuseks on lõputud vaidlused selle üle, kas keedumuna avada suures või väikeses otsas.
See satiiriline tähelepanek on voolanud otse kaasaegsesse arvutiteadusse, kusjuures protsessorid esindavad kõige väiksemate mäluaadresside juures kõige vähemtähtsate baitidega täisarve. väike endian (see on nagu aasta AD 1984 kirjutamine kui 4 8 9 1
, jadaühikutes-kümned-sadud-tuhanded) ja need, mis panevad kõige olulisemad baidid mällu esimeseks (nagu numbreid tavaliselt kirjutatakse: 1 9 8 4
) tuntud kui suur-endian.
Swift andis meile muidugi veel ühe satiirilise märkuse, mis kehtib üsna täpselt avatud lähtekoodiga tarneahela rünnakute kohta, kus programmeerijad otsustavad kasutada projekti X, kuid avastavad, et X sõltub Y-st, mis ise sõltub Z-st, mis sõltub A-st. B ja C, mis omakorda…
...saate pildi kätte.
See tähelepanek tuli poeetide kohta tehtud märkuste seeriana, mis ilmusid asjakohaselt luuletuses:
Niisiis, nat'ralistid märkavad, et kirbul on väiksemad kirbud, kes teda röövivad, ja need on veel väiksemad, et neid hammustada, ja nii jätkatakse lõpmatuseni
Me ei ole kindlad, kuid oletame, et Suur vokaalinihe ei olnud 1600. aastate lõpus ja 1700. aastate alguses ikka veel lõppenud ning et -EA
Swifti sõnadega Kirp hääldati siis nii, nagu me hääldame endiselt üsna omapäraselt -EY
in saak täna. Nii loetakse luuletus koos heliga ette lennata millega riimida palvetama. (See E-used-to-be-A äri on põhjus, miks britid ütlevad endiselt DARBY
kui nad kohanime lugesid Derbyvõi BARKSHIRE
kui nad külastavad Kuninglik Berkshire.)
Kahjulikuks peetud kirbuvirnad
Seetõttu oleme harjunud mõttega, et avatud lähtekoodiga pakettide hoidlatesse üles laaditud võltssisu eesmärk on üldiselt süstida end märkamatult koodisõltuvuste "kirbuvirnadesse", mille mõned tooted automaatse värskendamise käigus kogemata alla laadivad.
Kuid tarneahela turbetestide teadlased asusid hiljuti Checkmarxile hoiatas populaarsete hoidlate palju vähem keerukast, kuid potentsiaalselt palju pealetükkivamast kuritarvitamisest: andmepüügilinkide ümbersuunajatena.
Teadlased märkasid sadu veebipõhiseid omadusi, nagu WordPressi ajaveebisaidid, mis olid täis petturliku välimusega postitusi…
…mis linkib tuhandete NPM-i pakettide hoidlas hostitud URL-idega.
Kuid neid "pakette" ei eksisteerinud lähtekoodi avaldamiseks.
Need eksisteerisid lihtsalt kohahoidjatena README
failid, mis sisaldasid viimaseid linke, millel kelmid tahtsid, et inimesed klõpsaksid.
Need lingid sisaldavad tavaliselt viitekoode, mis annaksid petturitele tagasihoidliku tasu, isegi kui läbi klõpsanud inimene tegi seda lihtsalt selleks, et näha, mis seal toimub.
NPM-i pakettide nimed ei olnud täpselt peened, nii et peaksite neid märkama.
Õnneks suutsid kelmid (oletame kogemata) lisada oma mürgiste pakendite nimekirja ühte üleslaadimistesse.
Seetõttu on Checkmarx avaldanud a nimekiri sisaldab rohkem kui 17,000 XNUMX unikaalset võltsnime, millest vaid väike näidis (igaüks tähestiku paari esimese tähe jaoks) näitab, milliseid "kaupu ja teenuseid" need kelmid väidavad pakkuvat:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx avaldas ka a nimekiri ligi 200 veebilehel, millel oli avaldatud postitusi, mis reklaamisid neid võltsitud NPM-pakette ja viitasid nendega.
Tundub, nagu oleks petturitel juba mõnel sellisel saidil kasutajanimed ja paroolid, mis võimaldasid neil postitada nimeliste või muul viisil "usaldusväärsete" kasutajate ja ülevaatajatena.
Kuid iga modereerimata või halvasti modereeritud kommentaaridega saiti võidakse sedasorti petturliku lingiga anonüümselt rikastada, nii et pelgalt kõigi kogukonna liikmete sundimisest teie saidil konto looma ei piisa sellise kuritarvitamise kontrollimiseks.
Klõpsatavate linkide loomine paljudes, kui mitte enamikus veebipõhistes lähtekoodihoidlates on üllatavalt lihtne ning järgib automaatselt saidi kui terviku välimust.
Te ei pea isegi looma täielikke HTML-paigutusi ega CSS-i lehe stiile – tavaliselt loote lihtsalt oma projekti juurkataloogis faili nimega README.md
.
Pikendus .md
on lühike Hinnaalandus, ülilihtsalt kasutatav tekstimärgistuskeel (vaata, mida nad seal tegid?), mis asendab HTML-i keerulised nurksulgudega sildid ja atribuudid lihtsate tekstimärkustega.
Kui soovite Mardownis teksti paksuks muuta, pange selle ümber tähed **this bit**
oleks julge. Lõikude puhul jätate lihtsalt tühjad read. Lingi loomiseks pange lihtsalt tekst nurksulgudesse ja järgige seda ümarsulgudes oleva URL-iga. URL-ist klõpsatava teksti loomise asemel pildi kuvamiseks pange lingi ette hüüumärk ja nii edasi.
Mida teha?
- Ärge klõpsake tasuta linkidel, isegi kui leiate, et olete huvitatud või huvitatud. Sa ei tea, kuhu sa välja jõuad, kuid tõenäoliselt on see kahju. Võib-olla tekitate kelmidele ka võltsitud kliki-eest tasu liiklust ja kuigi summa iga kliki eest võib olla väike, siis milleks küberkurjategijatele midagi kinkida, kui saate seda aidata?
- Ärge täitke veebiküsitlusi, hoolimata sellest, kui kahjutud need tunduvad. Checkmarx teatas, et paljud neist linkidest lõppevad küsitluste ja muude "testidega", et kvalifitseeruda teile mingisuguste "kingituste" saamiseks. Selle petuskeemi ulatus ja ulatus on hea meeldetuletus, et võltsuuringud, milles igaüks küsib teie kohta väikeseid ja ilmselt ebaolulisi andmeid, ei kogu neid andmeid iseseisvalt. See kõik koondatakse ühte tohutusse PII-sse (isikut tuvastav teave), mis annab teile lõpuks palju rohkem ära, kui võite oodata. Küsitluste täitmine annab tasuta abi järgmisele petturitele, miks siis milleks küberkurjategijatele midagi kinkida, kui saate neid aidata?
- Ärge pidage ajaveebe ega kogukonnasaite, mis lubavad modereerimata postitusi või kommentaare. Te ei pea sundima kõiki parooli looma, kui te seda ei soovi, kuid peaksite nõudma, et iga kommentaari kinnitaks usaldusväärne inimene. Kui te ei saa hakkama kommentaaride rämpsposti mahuga (mis võib olla tohutu – kuigi enamikul ajaveebiteenustel on filtreerimistööriistad, mis aitavad teil enamikust automaatselt vabaneda), lülitage kommentaarid välja. Kommentaaris olev valelink on sisuliselt tasuta teenus petturitele, miks siis küberkurjategijatele midagi kinkida, kui saate seda aidata?
Pea meeles ...
...mõtle enne klõpsamistja kui kahtled, ära anna välja!
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- MEIST
- absoluutne
- kuritarvitamise
- konto
- Ad
- aadressid
- Eesmärgid
- Materjal: BPA ja flataatide vaba plastik
- Tähestik
- juba
- summa
- ja
- Anonüümselt
- Teine
- ilmunud
- asjakohaselt
- heaks kiitma
- argumendid
- Abi
- Reageerib
- atribuudid
- autor
- auto
- automaatselt
- background-image
- enne
- Suur
- tühi
- Blogimine
- blogid
- julge
- piir
- põhi
- laius
- Briti
- äri
- kutsutud
- põhjustatud
- keskus
- kett
- linnuke
- nõudma
- lähedal
- kood
- Kollektsioneerimine
- värv
- kommentaar
- kommentaarid
- kogukond
- täitma
- keeruline
- arvuti
- Arvutiteadus
- kaaluda
- sisu
- kontrollida
- võiks
- kursus
- cover
- looma
- loomine
- Kelmid
- CSS
- küberkurjategijad
- andmed
- sõltub
- DID
- Ekraan
- teeme
- Ära
- kahtlen
- lae alla
- ajal
- iga
- Varajane
- maa
- lõppeb
- piisavalt
- põhiliselt
- Isegi
- Iga
- igaüks
- täpselt
- Teostama
- ootama
- laiendamine
- võlts
- kuulus
- vähe
- fail
- Faile
- täitma
- filtreerimine
- lõplik
- leidma
- esimene
- järgima
- järgneb
- Sundida
- tasuta
- Alates
- esi-
- üldiselt
- saama
- kingitus
- GitHub
- Andma
- annab
- läheb
- hea
- suur
- käepide
- kõrgus
- aitama
- võõrustas
- hõljuma
- Kuidas
- HTML
- HTTPS
- tohutu
- inim-
- sajad
- idee
- pilt
- in
- sisaldama
- lisatud
- Kaasa arvatud
- iseseisvalt
- info
- selle asemel
- huvitatud
- IT
- ise
- JavaScript
- Teadma
- teatud
- keel
- Hilja
- Lahkuma
- liinid
- LINK
- seotud
- lingid
- nimekiri
- vähe
- tegema
- juhitud
- palju
- Varu
- küsimus
- max laiuse
- liikmed
- Mälu
- võib
- Kaasaegne
- rohkem
- kõige
- Nimega
- nimed
- Vajadus
- neto
- järgmine
- normaalne
- romaan
- numbrid
- jälgima
- pakkuma
- ONE
- Internetis
- avatud
- avatud lähtekoodiga
- Muu
- muidu
- pakend
- pakette
- Parool
- paroolid
- Paul
- Inimesed
- inimene
- Isiklikult
- Phishing
- pilt
- pii
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- populaarne
- positsioon
- post
- Postitusi
- potentsiaalselt
- tõenäoliselt
- Toodet
- Programmeerijad
- projekt
- edutatud
- omadused
- avaldama
- avaldatud
- panema
- kvalifitseeruma
- Lugenud
- hiljuti
- Referral
- Teatatud
- Hoidla
- esindama
- nõudma
- Teadlased
- Premeerima
- Rid
- juur
- ümber
- jooks
- Skaala
- Petturid
- teadus
- turvalisus
- turvalisuse testimine
- Seeria
- teenus
- Teenused
- suunata
- Lühike
- peaks
- Näitused
- märkimisväärne
- lihtne
- lihtsalt
- site
- Saidid
- väike
- väiksem
- So
- Ühiskond
- tahke
- mõned
- keeruline
- heli
- allikas
- lähtekoodi
- spam
- Kaubandus-
- ruut
- Hoidla
- Stars
- Veel
- selline
- varustama
- tarneahelas
- SVG
- SWIFT
- Testimine
- .
- oma
- seetõttu
- tuhandeid
- Läbi
- et
- täna
- töövahendid
- ülemine
- liiklus
- üleminek
- läbipaistev
- Usaldatud
- Pöörake
- tüüpiliselt
- lõpuks
- ainulaadne
- ajakohastamine
- laetud
- URL
- us
- kasutama
- Kasutajad
- tavaliselt
- maht
- tagaotsitav
- Wave
- web
- M
- kas
- mis
- will
- sõna
- WordPress
- oleks
- kirjutamine
- kirjalik
- X
- aasta
- Sinu
- sephyrnet