Johnathan Swift on luultavasti tunnetuin romaanistaan Gulliverin matkat, jonka aikana kertoja Lemuel Gulliver kohtaa liiliputilaisen yhteiskunnan sosiopoliittisen skisman, jonka aiheuttavat loputtomat kiistat siitä, pitäisikö keitetty muna avata isosta vai pienestä päästä.
Tämä satiirinen havainto on virrannut epäsuorasti nykyaikaiseen tietojenkäsittelytieteeseen, jossa prosessorit edustavat kokonaislukuja vähiten merkitsevillä tavuilla alimmilla muistiosoitteilla. little endian (Se on kuin kirjoittaisi vuosi AD 1984 nimellä 4 8 9 1
, jaksoissa yksiköt-kymmeniä-satoja-tuhansia) ja ne, jotka laittavat tärkeimmät tavut ensimmäiseksi muistiin (kuten numerot kirjoitetaan perinteisesti: 1 9 8 4
) tunnetaan big endian.
Swift tietysti antoi meille toisen satiirisen huomautuksen, joka sopii melko siististi avoimen lähdekoodin toimitusketjun hyökkäyksiin, joissa ohjelmoijat päättävät käyttää projektia X vain huomatakseen, että X riippuu Y:stä, joka itse riippuu Z:sta, joka riippuu A:sta. B ja C, jotka puolestaan…
…saat kuvan.
Tämä havainto tuli sarjassa runoilijoita koskevia huomautuksia, jotka esiintyivät riittävän hyvin runossa:
Nat'ralistit havaitsevat, että kirppulla on pienempiä kirppuja, jotka saalistavat häntä, ja näillä on vielä pienempiä purematta niitä, ja niin etenee loputtomiin
Emme ole varmoja, mutta oletamme, että Suuri vokaalien vaihto ei ollut vielä valmis 1600-luvun lopulla ja 1700-luvun alussa, ja että -EA
Swiftin sanoin Kirppu lausuttiin silloin, kuten me edelleenkin, melko omituisesti, lausumme -EY
in saalis tänään. Näin runo luettiin ääneen äänen kanssa ruoskia kanssa riimittää rukoilla. (Tämä E-used-to-be-A-liiketoiminta on syy, miksi britit sanovat edelleen DARBY
kun he lukevat paikannimen Derbytai BARKSHIRE
kun he vierailevat Kuninkaallinen Berkshire.)
Kirppupinoja pidetään haitallisina
Olemme siksi tottuneet siihen ajatukseen, että avoimen lähdekoodin pakettivarastoihin ladattava roistosisältö pyrkii yleensä tunkeutumaan huomaamattomasti koodiriippuvuuden "kirppupinoihin", joita jotkut tuotteet vahingossa lataavat päivittyessään automaattisesti.
Mutta toimitusketjun tietoturvatestauksen tutkijat aloittivat äskettäin Checkmarxin varoitti paljon vähemmän kehittyneestä, mutta mahdollisesti paljon tunkeilevammasta suosittujen tietovarastojen väärinkäytöstä: tietojenkalastelulinkkien "uudelleenohjaajina".
Tutkijat huomasivat satoja verkko-omaisuuksia, kuten WordPress-blogisivustoja, jotka olivat täynnä huijauksen näköisiä viestejä…
…joka linkitti tuhansiin NPM-pakettivarastossa oleviin URL-osoitteisiin.
Mutta näitä "paketteja" ei ollut olemassa lähdekoodin julkaisemiseksi.
Ne olivat olemassa yksinkertaisesti paikkamerkkinä README
tiedostot, jotka sisälsivät lopulliset linkit, joita roistot halusivat ihmisten napsauttavan.
Nämä linkit sisältävät yleensä viittauskoodeja, jotka antaisivat huijareille vaatimattoman palkinnon, vaikka läpi napsauttava henkilö tekisi niin vain nähdäkseen, mitä ihmettä tapahtuu.
NPM-pakettien nimet eivät olleet aivan hienovaraisia, joten sinun pitäisi havaita ne.
Onneksi roistot (oletamme vahingossa) onnistuivat sisällyttämään luettelonsa myrkyllisistä paketeista yhteen lataukseensa.
Checkmarx on siksi julkaissut a lista sisältää yli 17,000 XNUMX ainutlaatuista valenimeä, joista vain pieni näyte (yksi aakkosten ensimmäisiä kirjaimia varten) näyttää, millaisia "tavaroita ja palveluita" nämä roistot väittävät tarjoavansa:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx julkaisi myös a lista lähes 200 verkkosivua, joilla oli julkaistu viestejä, jotka mainostivat näitä vääriä NPM-paketteja ja linkittivät niihin.
Vaikuttaa siltä, että huijareilla oli jo joidenkin sivustojen käyttäjätunnukset ja salasanat, joiden ansiosta he voivat lähettää viestejä nimettyinä tai muuten "luotettavina" käyttäjinä ja arvioijina.
Mutta mikä tahansa sivusto, jolla on valvomattomia tai huonosti valvottuja kommentteja, voi olla anonyymisti tämänkaltaisen roistolinkin avulla, joten pelkkä yhteisön kaikkien jäsenten pakottaminen luomaan tili sivustollesi ei riitä hallitsemaan tällaista väärinkäyttöä.
Klikattavien linkkien luominen moniin, ellei useimpiin, online-lähdekoodivarastoihin on yllättävän helppoa, ja se seuraa automaattisesti koko sivuston ulkoasua.
Sinun ei tarvitse edes luoda täydellisiä HTML-asetteluja tai CSS-sivutyylejä – yleensä luot vain tiedoston projektisi juurihakemistoon nimeltä README.md
.
Laajennus .md
on lyhyt Hinnanalennus, erittäin helppokäyttöinen tekstinmerkintäkieli (katso mitä he tekivät siellä?), joka korvaa HTML:n monimutkaiset kulmahakasulkeet ja -attribuutit yksinkertaisilla tekstimerkinnöillä.
Lihavoidaksesi tekstiä Mardownissa, laita sen ympärille tähtiä **this bit**
olisi rohkea. Kappaleiden kohdalla jätät vain tyhjät rivit. Luo linkki lisäämällä tekstiä hakasulkeisiin ja lisäämällä sen jälkeen URL-osoite pyöreissä suluissa. Jos haluat näyttää kuvan URL-osoitteesta klikattavan tekstin luomisen sijaan, laita linkin eteen huutomerkki ja niin edelleen.
Mitä tehdä?
- Älä napsauta "ilmaismyynti"-linkkejä, vaikka olisit kiinnostunut tai innostunut. Et tiedä mihin päädyt, mutta se on todennäköisesti haitallista. Saatat myös luoda vääriä napsautuskohtaista liikennettä huijareille, ja vaikka jokaisen napsautuksen hinta saattaa olla pieni, miksi lahjoittaa verkkorikollisille mitään, jos voit auttaa sitä?
- Älä täytä online-kyselyjä, vaikka ne näyttäisivät kuinka vaarattomilta. Checkmarx raportoi, että monet näistä linkeistä päätyvät kyselyihin ja muihin "testeihin", joiden avulla voit saada jonkinlaisia "lahjoja". Tämän huijausharjoituksen laajuus ja laajuus on hyvä muistutus siitä, että väärennetyt "kyselyt", joissa jokainen pyytää pieniä ja näennäisesti merkityksettömiä tietoja sinusta, eivät kerää näitä tietoja itsenäisesti. Kaikki lopulta kootaan yhdeksi valtavaksi ämpäriin PII-tietoja (henkilökohtaisia tunnistetietoja), jotka lopulta antavat sinulle paljon enemmän kuin odotat. Kyselyjen täyttäminen antaa ilmaista apua seuraavalle huijariaalolle, joten miksi miksi lahjoittaa verkkorikollisille mitään, jos voit auttaa?
- Älä käytä blogeja tai yhteisösivustoja, jotka sallivat valvomattomien viestien tai kommenttien. Sinun ei tarvitse pakottaa kaikkia luomaan salasanaa, jos et halua, mutta sinun tulee vaatia luotettavaa henkilöä hyväksymään jokainen kommentti. Jos et pysty käsittelemään kommenttiroskapostin määrää (joka voi olla valtava – vaikka useimmissa blogipalveluissa on suodatustyökalut, joiden avulla voit päästä eroon suurimmasta osasta automaattisesti), poista kommentit käytöstä. Kommentissa oleva valelinkki on pohjimmiltaan ilmainen palvelu huijareille, joten miksi lahjoittaa verkkorikollisille mitään, jos voit auttaa?
Muistaa…
...mieti ennen kuin klikkaatja jos olet epävarma, älä luovuta sitä!
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- Meistä
- absoluuttinen
- hyväksikäyttö
- Tili
- Ad
- osoitteet
- tavoitteet
- Kaikki
- Aakkoset
- jo
- määrä
- ja
- nimettömänä
- Toinen
- ilmestyi
- asianmukaisesti
- hyväksyä
- perustelut
- Apu
- Hyökkäykset
- attribuutteja
- kirjoittaja
- auto
- automaattisesti
- background-image
- ennen
- Iso
- tyhjä
- Bloggaus
- blogit
- tappi
- reunus
- pohja
- leveys
- Brittiläinen
- liiketoiminta
- nimeltään
- aiheutti
- keskus
- ketju
- Valintamerkki
- vaatia
- lähellä
- koodi
- Kerääminen
- väri
- kommentti
- kommentit
- yhteisö
- täydellinen
- monimutkainen
- tietokone
- Tietojenkäsittelyoppi
- harkittu
- pitoisuus
- ohjaus
- voisi
- kurssi
- kattaa
- luoda
- Luominen
- Crooks
- CSS
- verkkorikollisille
- tiedot
- riippuu
- DID
- näyttö
- tekee
- Dont
- Epäilen
- download
- aikana
- kukin
- Varhainen
- maa
- päättyy
- tarpeeksi
- olennaisesti
- Jopa
- Joka
- jokainen
- täsmälleen
- Käyttää
- odottaa
- laajentaminen
- väärennös
- kuuluisa
- harvat
- filee
- Asiakirjat
- täyttää
- suodatus
- lopullinen
- Löytää
- Etunimi
- seurata
- seuraa
- voima
- Ilmainen
- alkaen
- etuosa
- yleensä
- saada
- lahja
- GitHub
- Antaa
- antaa
- menee
- hyvä
- suuri
- kahva
- korkeus
- auttaa
- isännöi
- liihottaa
- Miten
- HTML
- HTTPS
- valtava
- ihmisen
- Sadat
- ajatus
- kuva
- in
- sisältää
- mukana
- Mukaan lukien
- itsenäisesti
- tiedot
- sen sijaan
- kiinnostunut
- IT
- itse
- JavaScript
- Tietää
- tunnettu
- Kieli
- Myöhään
- jättää
- linjat
- LINK
- liittyvät
- linkit
- Lista
- vähän
- tehdä
- onnistui
- monet
- Marginaali
- asia
- max-width
- Jäsenet
- Muisti
- ehkä
- Moderni
- lisää
- eniten
- nimetty
- nimet
- Tarve
- netto
- seuraava
- normaali
- romaani
- numerot
- tarkkailla
- kampanja
- ONE
- verkossa
- avata
- avoimen lähdekoodin
- Muut
- muuten
- paketti
- paketit
- Salasana
- salasanat
- Paavali
- Ihmiset
- henkilö
- Henkilökohtaisesti
- Phishing
- kuva
- pii
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- Suosittu
- sijainti
- Kirje
- Viestejä
- mahdollisesti
- todennäköisesti
- Tuotteemme
- Ohjelmoijat
- projekti
- Ylennetty
- ominaisuudet
- julkaista
- julkaistu
- laittaa
- saada
- Lue
- äskettäin
- Lähete
- raportoitu
- säilytyspaikka
- edustaa
- edellyttää
- Tutkijat
- Palkinto
- Eroon
- juuri
- kierros
- ajaa
- Asteikko
- Huijarit
- tiede
- turvallisuus
- turvallisuustestaus
- Sarjat
- palvelu
- Palvelut
- siirtää
- Lyhyt
- shouldnt
- Näytä
- merkittävä
- Yksinkertainen
- yksinkertaisesti
- paikka
- Sivustot
- pieni
- pienempiä
- So
- yhteiskunta
- vankka
- jonkin verran
- hienostunut
- kuulostaa
- lähde
- lähdekoodi
- spam
- Kaupallinen
- neliö
- Stacks
- Tähteä
- Yhä
- niin
- toimittaa
- toimitusketju
- SVG
- SWIFT
- Testaus
- -
- heidän
- siksi
- tuhansia
- Kautta
- että
- tänään
- työkalut
- ylin
- liikenne
- siirtyminen
- läpinäkyvä
- luotettu
- VUORO
- tyypillisesti
- Lopulta
- unique
- päivittäminen
- ladattu
- URL
- us
- käyttää
- Käyttäjät
- yleensä
- tilavuus
- halusi
- Aalto
- verkko
- Mitä
- onko
- joka
- tulee
- sana
- WordPress
- olisi
- kirjoittaminen
- kirjallinen
- X
- vuosi
- Sinun
- zephyrnet