ג'ונתן סוויפט הוא כנראה המפורסם ביותר ברומן שלו מסעות גוליבר, במהלכו נתקל המספר, למואל גוליבר, בפילוג חברתי-פוליטי בחברה הלייליפוטית שנגרם מוויכוחים בלתי נגמרים בשאלה האם כדאי לפתוח ביצה מבושלת בקצה הגדול או בקצה הקטן.
התבוננות סאטירית זו זרמה קשות למדעי המחשב המודרניים, עם מעבדים המייצגים מספרים שלמים עם הבתים הכי פחות משמעותיים בכתובות הזיכרון הנמוכות ביותר שנקראות אנדיאני קטן (זה כמו לכתוב את השנה לספירה 1984 בתור 4 8 9 1
, ביחידות הרצף-עשרות-מאות-אלפים), ואלו שמכניסות את הבייטים המשמעותיים ביותר לזיכרון (כפי שמספרים נכתבים בדרך כלל: 1 9 8 4
) ידוע כ אנדיאן גדול.
סוויפט, כמובן, נתנה לנו הערה סאטירית נוספת שמתייחסת בצורה מסודרת למדי למתקפות שרשרת אספקה בקוד פתוח, שבהן מתכנתים מחליטים להשתמש בפרויקט X, רק כדי לגלות ש-X תלוי ב-Y, שבעצמו תלוי ב-Z, שתלוי ב-A, B ו-C, שבתורם...
... אתה מבין את התמונה.
התבוננות זו באה בסדרה של הערות על משוררים שהופיעו, באופן הולם, בשיר:
אז, מבינים נטראליסטים, לפרעוש יש פרעושים קטנים יותר שטורפים עליו, ולאלה יש עוד קטנים יותר לנשוך אותם, וכך ממשיכים עד אינסוף
אנחנו לא בטוחים, אבל אנחנו מנחשים ששינוי התנועות הגדול עדיין לא הושלם בסוף המאה ה-1600 ותחילת המאה ה-1700, וש -EA
במילה של סוויפט פַּרעוֹשׁ בוטאה אז כפי שאנו עדיין, באופן מוזר למדי, מבטאים את ה -EY
in טֶרֶף היום. כך יקרא השיר בקול עם הצליל לִנְזוֹף להתחרז איתו להתפלל. (העסק האלקטרוני הזה הוא הסיבה שהבריטים עדיין אומרים DARBY
כשהם קוראים את שם המקום דרבי, או BARKSHIRE
כשהם מבקרים רויאל ברקשייר.)
ערימות פרעושים נחשבות מזיקות
לכן התרגלנו לרעיון שתוכן נוכל שהועלה למאגרי חבילות קוד פתוח נועד בדרך כלל להחדיר את עצמו ללא תשומת לב ל"ערימות פרעושים" של תלות קוד שחלק מהמוצרים מורידים בטעות בעת עדכון אוטומטי.
אבל חוקרים בבדיקות אבטחה בשרשרת האספקה עשו לאחרונה את Checkmarx מוזהר על שימוש לרעה בהרבה פחות מתוחכם, אך פוטנציאלי הרבה יותר פולשני, במאגרים פופולריים: בתור "מפנים מחדש" של קישורי דיוג.
חוקרים הבחינו במאות נכסים מקוונים כגון אתרי בלוגים של וורדפרס שהיו עמוסים בפוסטים בעלי מראה מרמה...
...שקישרו לאלפי כתובות URL המתארחות במאגר החבילות של NPM.
אבל ה"חבילות" הללו לא היו קיימות כדי לפרסם קוד מקור.
הם התקיימו פשוט כמצייני מקום עבור README
קבצים שכללו את הקישורים האחרונים שהנוכלים רצו שאנשים ילחצו עליהם.
קישורים אלה כוללים בדרך כלל קודי הפניה שיעניקו לרמאים פרס צנוע, גם אם האדם שלחץ עליו עשה זאת פשוט כדי לראות מה קורה לכל הרוחות.
שמות החבילות של NPM לא היו בדיוק עדינים, אז כדאי לזהות אותם.
למרבה המזל, הנוכלים (בשוגג, אנו מניחים) הצליחו לכלול את רשימת החבילות הרעילות שלהם באחת ההעלאות שלהם.
צ'קמארקס פרסם אפוא א רשימה מכיל יותר מ-17,000 שמות מזויפים ייחודיים, מתוכם רק מדגם קטן (אחד כל אחד עבור האותיות הראשונות באלפבית) מראה לך איזה סוג של "סחורה ושירותים" הנוכלים האלה מתיימרים להציע:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
צ'קמארקס פרסם גם את א רשימה של קרוב ל-200 דפי אינטרנט שבהם פורסמו פוסטים שקידמו וקישרו לחבילות NPM המזויפות הללו.
זה נשמע כאילו לרמאים כבר היו שמות משתמש וסיסמאות עבור חלק מהאתרים הללו, מה שאפשרו להם לפרסם משתמשים וסוקרים בשם או "מהימנים" בדרך אחרת.
אבל כל אתר עם הערות לא מנוהלות או מנוהלות גרוע יכול להיות מפולפל בעילום שם עם סוג זה של קישורים נוכלים, כך שעצם ההכרח על כל חברי הקהילה שלך ליצור חשבון באתר שלך אינו מספיק בעצמו כדי לשלוט בסוג זה של התעללות.
יצירת קישורים ניתנים ללחיצה במאגרי קוד מקור מקוונים רבים, אם לא ברובם, קלה באופן מפתיע, ועוקבת אוטומטית אחר המראה והתחושה של האתר בכללותו.
אתה אפילו לא צריך ליצור פריסות HTML מלאות או סגנונות עמוד CSS - בדרך כלל, אתה פשוט יוצר קובץ בספריית הבסיס של הפרויקט שלך בשם README.md
.
הרחבה .md
הוא קיצור של Markdown, שפת סימון טקסט סופר קלה לשימוש (ראה מה הם עשו שם?) שמחליפה את התגים והתכונות המורכבות של סוגריים זווית של HTML בהערות טקסט פשוטות.
כדי להפוך את הטקסט למודגש ב-Mardown, פשוט שים כוכבים סביבו, כך **this bit**
יהיה נועז. עבור פסקאות, אתה פשוט משאיר שורות ריקות. כדי ליצור קישור, פשוט שים טקסט בסוגריים מרובעים ועקוב אחריו עם כתובת URL בסוגריים עגולים. כדי להציג תמונה מכתובת URL במקום ליצור לה טקסט הניתן ללחיצה, שימו סימן קריאה לפני הקישור, וכן הלאה.
מה לעשות?
- אל תלחץ על קישורי "חינם", גם אם אתה מוצא שאתה מתעניין או מסוקרן. אתה לא יודע לאן תגיע, אבל זה כנראה יפגע. יכול להיות שאתה גם יוצר תנועה מזויפת של תשלום לקליק עבור הנוכלים, ולמרות שהסכום עבור כל קליק עשוי להיות זעום, למה לתת לפושעי סייבר משהו אם אתה יכול לעזור לו?
- אל תמלא סקרים מקוונים, לא משנה כמה הם נראים לא מזיקים. צ'קמארקס דיווחה שרבים מהקישורים האלה מסתיימים בסקרים ו"בדיקות" אחרות כדי להכשיר אותך ל"מתנות" מסוג כלשהו. קנה המידה והרוחב של תרגיל ההונאה הזה הוא תזכורת טובה לכך ש"סקרים" מזויפים שכל אחד מהם מבקש שאריות מידע קטנות ולכאורה חסרות משמעות לגביך אינם אוספים את הנתונים הללו באופן עצמאי. הכל מתרכז בסופו של דבר לדלי עצום אחד של PII (מידע אישי מזהה) שבסופו של דבר נותן לך הרבה יותר ממה שאתה יכול לצפות. מילוי סקרים נותן סיוע חינם לגל הרמאים הבא, אז למה למה לתת לפושעי סייבר משהו אם אתה יכול לעזור לו?
- אל תפעיל בלוגים או אתרי קהילה המאפשרים פוסטים או הערות ללא פיקוח. אתה לא צריך להכריח את כולם ליצור סיסמה אם אתה לא רוצה, אבל אתה צריך לדרוש מאדם מהימן שיאשר כל הערה. אם אינך יכול להתמודד עם נפח הספאם של הערות (שיכול להיות עצום - למרות שלרוב שירותי הבלוגים יש כלי סינון שיכולים לעזור לך להיפטר מרובם באופן אוטומטי), כבה את ההערות. קישור מזויף בתגובה הוא בעצם שירות חינמי לרמאים, אז למה לתת לפושעי סייבר משהו אם אתה יכול לעזור לו?
זכור…
...תחשוב לפני שאתה לוחץ, ו אם יש ספק, אל תמסור אותו!
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- אודות
- מוּחלָט
- התעללות
- חֶשְׁבּוֹן
- Ad
- כתובות
- מטרות
- תעשיות
- אלפבית
- כְּבָר
- כמות
- ו
- בעילום שם
- אחר
- נראה
- כראוי
- לאשר
- טיעונים
- סיוע
- המתקפות
- תכונות
- מחבר
- המכונית
- באופן אוטומטי
- רקע תמונה
- לפני
- גָדוֹל
- ריק
- בלוגים
- בלוגים
- סיכה
- גבול
- תַחתִית
- רוחב
- בריטי
- עסקים
- נקרא
- גרם
- מרכז
- שרשרת
- צ'קמרקס
- לטעון
- סְגוֹר
- קוד
- איסוף
- צֶבַע
- הערה
- הערות
- קהילה
- להשלים
- מורכב
- המחשב
- מדעי מחשב
- נחשב
- תוכן
- לִשְׁלוֹט
- יכול
- קורס
- לכסות
- לִיצוֹר
- יוצרים
- קרוקס
- CSS
- עברייני אינטרנט
- נתונים
- תלוי
- DID
- לְהַצִיג
- עושה
- לא
- ספק
- להורדה
- בְּמַהֲלָך
- כל אחד
- מוקדם
- כדור הארץ
- מסתיים
- מספיק
- למעשה
- אֲפִילוּ
- כל
- כולם
- בדיוק
- תרגיל
- לצפות
- הארכה
- מְזוּיָף
- מפורסם
- מעטים
- שלח
- קבצים
- למלא
- סינון
- סופי
- ראשון
- לעקוב
- כדלקמן
- להכריח
- חופשי
- החל מ-
- חזית
- בדרך כלל
- לקבל
- מתנה
- GitHub
- לתת
- נותן
- הולך
- טוב
- גדול
- לטפל
- גובה
- לעזור
- אירח
- לרחף
- איך
- HTML
- HTTPS
- עצום
- בן אנוש
- מאות
- רעיון
- תמונה
- in
- לכלול
- כלול
- כולל
- באופן עצמאי
- מידע
- במקום
- מעוניין
- IT
- עצמו
- JavaScript
- לדעת
- ידוע
- שפה
- מְאוּחָר
- יציאה
- קווים
- קשר
- צמוד
- קישורים
- רשימה
- קְצָת
- לעשות
- הצליח
- רב
- שולים
- דבר
- max-width
- להרשם/להתחבר
- זכרון
- יכול
- מודרני
- יותר
- רוב
- שם
- שמות
- צורך
- נטו
- הבא
- נוֹרמָלִי
- רומן
- מספרים
- להתבונן
- הַצָעָה
- ONE
- באינטרנט
- לפתוח
- קוד פתוח
- אחר
- אַחֶרֶת
- חבילה
- חבילות
- סיסמה
- סיסמאות
- פול
- אֲנָשִׁים
- אדם
- אישית
- דיוג
- תמונה
- pii
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- פופולרי
- עמדה
- הודעה
- הודעות
- פוטנציאל
- כנראה
- מוצרים
- מתכנתים
- פּרוֹיֶקט
- מקודם
- נכסים
- לפרסם
- לאור
- גם
- זכאי
- חומר עיוני
- לאחרונה
- הפנייה
- דווח
- מאגר
- לייצג
- לדרוש
- חוקרים
- לגמול
- להיפטר
- שורש
- עגול
- הפעלה
- סולם
- רמאים
- מדע
- אבטחה
- בדיקות אבטחה
- סדרה
- שרות
- שירותים
- משמרת
- קצר
- צריך
- הופעות
- משמעותי
- פָּשׁוּט
- בפשטות
- אתר
- אתרים
- קטן
- קטן יותר
- So
- חֶברָה
- מוצק
- כמה
- מתוחכם
- קול
- מָקוֹר
- קוד מקור
- דואר זבל
- מסחרי
- מרובע
- ערימות
- כוכבים
- עוד
- כזה
- לספק
- שרשרת אספקה
- SVG
- SWIFT
- בדיקות
- השמיים
- שֶׁלָהֶם
- לכן
- אלפים
- דרך
- ל
- היום
- כלים
- חלק עליון
- תְנוּעָה
- מַעֲבָר
- שָׁקוּף
- מהימן
- תור
- בדרך כלל
- בסופו של דבר
- ייחודי
- עדכון
- נטען
- כתובת האתר
- us
- להשתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- כֶּרֶך
- רציתי
- גל
- אינטרנט
- מה
- אם
- אשר
- יצטרך
- Word
- וורדפרס
- היה
- כתיבה
- כתוב
- X
- שנה
- זפירנט