ジョナサン・スウィフトはおそらく彼の小説で最も有名です ガリバー旅行記、ナレーターのレムエル・ガリバーは、ゆで卵を大きな端と小さな端のどちらで開けるべきかについての果てしない議論によって引き起こされた、リリプティアン社会の社会政治的分裂に遭遇します。
この風刺的な観察は、現代のコンピューター サイエンスに直接流れ込んでおり、最下位のメモリ アドレスにある最下位バイトで整数を表す CPU を使用しています。 リトルエンディアン (これは西暦 1984 年を次のように書くようなものです。 4 8 9 1
、シーケンス単位-数十万-数千)、および最上位バイトを最初にメモリに配置するもの (数値は慣習的に次のように記述されるため)。 1 9 8 4
) として知られている ビッグエンディアン.
もちろん、Swift は、プログラマーがプロジェクト X を使用することを決定したオープンソース サプライ チェーン攻撃にかなりきちんと適用される別の風刺的なメモを私たちに与えました。 BとC、それは…
…あなたは絵を手に入れます。
その観察は、適切に、詩に登場する詩人についての一連の発言の中にありました。
だから、自然主義者は観察する、ノミは彼を捕食する小さなノミを持っている、そしてこれらはまだ彼らを噛むことができないほど小さいので、無限に進みます
確かではありませんが、大母音シフトは 1600 年代後半から 1700 年代前半にはまだ完了していなかったと推測しています。 -EA
スウィフトの言葉で ノミ はそのとき発音されていましたが、私たちはまだかなり独特に -EY
in 餌食 今日。 したがって、詩は音とともに読み上げられます。 剥ぎます 韻を踏む 祈る. (この E-to-be A ビジネスが、イギリス人が今でもこう言う理由です。 DARBY
地名を読むとき ダービーまたは BARKSHIRE
彼らが訪問するとき ロイヤルバークシャー.)
有害と見なされるノミのスタック
そのため、オープン ソース パッケージ リポジトリにアップロードされた不正なコンテンツは、通常、一部の製品が自動更新時に誤ってダウンロードするコード依存関係の「フリー スタック」に気づかれずに自分自身を挿入することを目的としているという考えに慣れています。
しかし、最近、サプライチェーンのセキュリティテストを行う Checkmarx の研究者が 警告 フィッシングリンクの「リダイレクター」として、あまり洗練されていませんが、潜在的にはるかに侵入的な、人気のあるリポジトリの悪用について.
研究者は、WordPress ブログ サイトなどの何百ものオンライン プロパティに、詐欺のような投稿が散らばっていることに気付きました…
…NPM パッケージ リポジトリでホストされている何千もの URL にリンクしていました。
しかし、ソース コードを公開するための「パッケージ」は存在しませんでした。
それらは単にプレースホルダーとして存在していました README
このファイルには、詐欺師がユーザーにクリックしてもらいたい最終的なリンクが含まれていました。
これらのリンクには通常、詐欺師にささやかな報酬をもたらす紹介コードが含まれています。クリックした人が単に何が起こっているのかを確認するためだけにクリックしたとしてもです。
NPM パッケージの名前は正確にわかりにくいものではないため、それらを見つける必要があります。
幸いなことに、攻撃者は (うっかりしていると思われますが) 有毒なパッケージのリストをアップロードの XNUMX つに含めることができました。
したがって、Checkmarx は、 リスト 17,000 を超える固有の偽の名前が含まれており、そのうちのほんの一部 (アルファベットの最初の数文字ごとに XNUMX つずつ) だけで、これらの詐欺師が提供すると主張する「商品やサービス」の種類がわかります。
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx は、 リスト これらの偽の NPM パッケージを宣伝およびリンクする投稿が公開された 200 近くの Web ページのうちの XNUMX つです。
詐欺師は、これらのサイトの一部のユーザー名とパスワードをすでに持っていたようで、名前付きまたは「信頼できる」ユーザーやレビュアーとして投稿することができました。
しかし、モデレートされていない、またはモデレートが不十分なコメントを含むサイトは、匿名でこの種の不正なリンクを張られる可能性があるため、すべてのコミュニティ メンバーにサイトでアカウントを作成するよう強制するだけでは、この種の悪用を制御するには十分ではありません.
ほとんどではないにしても、多くのオンライン ソース コード リポジトリでクリック可能なリンクを作成するのは驚くほど簡単で、サイト全体のルック アンド フィールに自動的に従います。
本格的な HTML レイアウトや CSS ページ スタイルを作成する必要さえありません。通常は、プロジェクトのルート ディレクトリにファイルを作成するだけです。 README.md
.
拡張子 .md
略です 値下げは、非常に使いやすいテキスト マークアップ言語 (彼らがそこで行ったことを参照してください) であり、HTML の複雑な山かっこタグと属性を単純なテキスト注釈に置き換えます。
Mardown でテキストを太字にするには、星で囲むだけです。 **this bit**
大胆だろう。 段落の場合は、空白行を残すだけです。 リンクを作成するには、角括弧内にテキストを入力し、丸括弧内に URL を続けます。 クリック可能なテキストを作成する代わりに URL から画像を表示するには、リンクの前に感嘆符を付けます。
何をするか?
- たとえ興味や興味をそそられたとしても、「景品」リンクをクリックしないでください。 最終的にどこにたどり着くかはわかりませんが、おそらく危害を加えることになるでしょう。 また、詐欺師のために偽のペイ パー クリック トラフィックを作成している可能性もあります。XNUMX 回のクリックの金額はごくわずかかもしれませんが、支援できるのであれば、サイバー犯罪者に何かを贈る必要はありません。
- どんなに無害に見えても、オンライン調査に記入しないでください。 Checkmarx は、これらのリンクの多くが、ある種の「ギフト」の資格を得るための調査やその他の「テスト」につながると報告しています。 この詐欺行為の規模と幅広さは、あなたに関する小さくて一見取るに足らない情報を求める偽の「調査」が、そのデータを個別に収集していないことをよく思い出させてくれます。 それらはすべて PII (個人を特定できる情報) の XNUMX つの巨大なバケツにまとめられ、最終的に予想以上に多くの情報を提供します。 アンケートに回答することで、次の詐欺師を無料で支援することができます。
- モデレートされていない投稿やコメントを許可するブログやコミュニティ サイトを運営しないでください。 全員にパスワードの作成を強制する必要はありませんが、信頼できる人にすべてのコメントを承認してもらう必要があります。 大量のコメント スパム (大量のコメント スパムが発生する可能性があります。ただし、ほとんどのブログ サービスには、ほとんどのスパムを自動的に除去するためのフィルタリング ツールがあります) を処理できない場合は、コメントをオフにしてください。 コメント内の偽のリンクは、基本的に詐欺師にとって無料のサービスです。
覚えておいてください…
...クリックする前に考える, 疑わしい場合は、それを与えないでください!
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- a
- 私たちについて
- 絶対の
- 虐待
- Ad
- アドレス
- 目指して
- すべて
- アルファベット
- 既に
- 量
- および
- 匿名で
- 別の
- 登場
- 適切に
- 承認する
- 引数
- 援助
- 攻撃
- 属性
- 著者
- オート
- 自動的に
- 背景画像
- ビッグ
- ブランク
- ブログ
- ブログ
- 大胆な
- 国境
- ボトム
- 幅
- 英国の
- ビジネス
- 呼ばれます
- 生じました
- センター
- チェーン
- チェックマーク
- クレーム
- 閉じる
- コード
- 収集
- カラー
- コメント
- 注釈
- コミュニティ
- コンプリート
- 複雑な
- コンピュータ
- コンピュータサイエンス
- 見なさ
- コンテンツ
- コントロール
- 可能性
- ここから
- カバー
- 作ります
- 作成
- クルックス
- CSS
- サイバー犯罪者
- データ
- 依存
- DID
- ディスプレイ
- すること
- ドント
- 疑い
- ダウンロード
- 間に
- 各
- 早い
- EARTH
- 終了
- 十分な
- 本質的に
- さらに
- あらゆる
- 誰も
- 正確に
- 運動
- 期待する
- 偽
- 有名な
- 少数の
- File
- 埋める
- フィルタリング
- ファイナル
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 次
- 強
- 無料版
- から
- フロント
- 一般に
- 取得する
- ギフト
- GitHubの
- 与える
- 与える
- 行く
- 良い
- 素晴らしい
- ハンドル
- 高さ
- 助けます
- 主催
- ホバー
- 認定条件
- HTML
- HTTPS
- 巨大な
- 人間
- 何百
- アイデア
- 画像
- in
- include
- 含まれました
- 含めて
- 単独で
- 情報
- を取得する必要がある者
- 興味がある
- IT
- 自体
- JavaScriptを
- 知っている
- 既知の
- 言語
- 遅く
- コメントを残す
- ライン
- LINK
- リンク
- リンク
- リスト
- 少し
- make
- マネージド
- 多くの
- マージン
- 問題
- 最大幅
- メンバー
- メモリ
- かもしれない
- モダン
- 他には?
- 最も
- 名前付き
- 名
- 必要
- net
- 次の
- 通常の
- 小説
- 番号
- 観察する
- 提供
- ONE
- オンライン
- 開いた
- オープンソース
- その他
- さもないと
- パッケージ
- パッケージ
- パスワード
- パスワード
- Paul Cairns
- のワークプ
- 人
- 個人的に
- フィッシング詐欺
- 画像
- 敬虔な
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 人気
- 位置
- ポスト
- 投稿
- :
- 多分
- 製品
- プログラマ
- プロジェクト
- 昇格
- プロパティ
- パブリッシュ
- 公表
- 置きます
- 資格を得る
- 読む
- 最近
- 紹介
- 報告
- 倉庫
- 表す
- 必要とする
- 研究者
- 報いる
- 取り除きます
- ルート
- 円形
- ラン
- 規模
- 詐欺師
- 科学
- セキュリティ
- セキュリティテスト
- シリーズ
- サービス
- サービス
- シフト
- ショート
- すべき
- 作品
- 重要
- 簡単な拡張で
- 単に
- ウェブサイト
- サイト
- 小さい
- より小さい
- So
- 社会
- 固体
- 一部
- 洗練された
- 音
- ソース
- ソースコード
- スパム
- Spot
- 広場
- スタック
- 星
- まだ
- そのような
- 供給
- サプライチェーン
- SVG
- SWIFT
- テスト
- アプリ環境に合わせて
- したがって、
- 数千
- 介して
- 〜へ
- 今日
- 豊富なツール群
- top
- トラフィック
- 遷移
- トランスペアレント
- 信頼されている
- 順番
- 一般的に
- 最終的に
- ユニーク
- 更新
- アップロード
- URL
- us
- つかいます
- users
- 通常
- ボリューム
- wanted
- ウェーブ
- ウェブ
- この試験は
- かどうか
- which
- 意志
- Word
- WordPress
- でしょう
- 書き込み
- 書かれた
- X
- 年
- あなたの
- ゼファーネット