Johnathan Swift muhtemelen en çok romanıyla ünlüdür. Gulliver'in SeyahatleriAnlatıcı Lemuel Gulliver, Liliputian toplumunda haşlanmış yumurtayı büyük ucundan mı yoksa küçük ucundan mı açmanız gerektiğine dair bitmeyen tartışmaların neden olduğu sosyo-politik bir ayrılıkla karşılaştığı sırada.
Bu hicivli gözlem, en düşük bellek adreslerinde en önemsiz baytlara sahip tamsayıları temsil eden CPU'lar ile doğrudan modern bilgisayar bilimine aktı. küçük endian (MS 1984 yılını şu şekilde yazmak gibi) 4 8 9 1, dizi birimlerinde on yüz binler) ve en önemli baytları bellekte ilk sıraya koyanlar (sayılar geleneksel olarak yazıldığından: 1 9 8 4) olarak bilinir büyük adam.
Swift, elbette bize, programcıların X projesini kullanmaya karar verdiği, yalnızca X'in Y'ye bağlı olduğunu, kendisinin de A'ya bağlı olan Z'ye bağlı olduğunu bulmak için açık kaynak tedarik zinciri saldırılarına oldukça net bir şekilde uygulanan başka bir hiciv notu verdi. B ve C sırasıyla…
…resmi anladınız.
Bu gözlem, yeterince uygun bir şekilde bir şiirde yer alan şairler hakkında bir dizi yorumda geldi:
Doğabilimciler, bir Pirenin üzerinde avladığı daha küçük Pireler Olduğunu gözlemler, Ve bunların daha küçükleri vardır, ısırmak için, Ve böylece sonsuza kadar ilerlerler
Emin değiliz ama Büyük Ünlü Kayması'nın 1600'lerin sonu ve 1700'lerin başında hâlâ tamamlanmadığını ve -EA Swift'in sözleriyle Pire o zaman telaffuz edildi, çünkü biz hala oldukça tuhaf bir şekilde telaffuz ediyoruz -EY in Av Bugün. Böylece şiir sesli olarak yüksek sesle okunacaktı. soymak ile kafiye yapmak dua. (Bu E-eskiden-A işi, İngilizlerin hala DARBY yer adını okuduklarında Melon şapkaya da BARKSHIRE ziyaret ettiklerinde Kraliyet Berkshire.)
Pire yığınları hamrful olarak kabul edilir
Bu nedenle, açık kaynak paket havuzlarına yüklenen hileli içeriğin, genellikle, bazı ürünlerin otomatik olarak güncellenirken yanlışlıkla indirdiği kod bağımlılıklarının "pire yığınlarına" fark edilmeden kendisini enjekte etmeyi amaçladığı fikrine alıştık.
Ancak son zamanlarda tedarik zinciri güvenlik testi ekibi Checkmarx'taki araştırmacılar uyardı popüler veri havuzlarının çok daha az gelişmiş, ancak potansiyel olarak çok daha müdahaleci bir kötüye kullanımı hakkında: kimlik avı bağlantısı "yönlendiriciler" olarak.
Araştırmacılar, dolandırıcı görünümlü gönderilerle dolu olan WordPress blog siteleri gibi yüzlerce çevrimiçi özelliği fark ettiler…
… NPM paket deposunda barındırılan binlerce URL'ye bağlanan.
Ancak bu "paketler" kaynak kodunu yayınlamak için mevcut değildi.
Onlar sadece yer tutucular olarak var oldular. README dolandırıcıların insanların tıklamasını istediği son bağlantıları içeren dosyalar.
Bu bağlantılar tipik olarak, dolandırıcılara mütevazı bir ödül verecek olan yönlendirme kodlarını içerir, tıklayan kişi bunu sadece dünyada neler olup bittiğini görmek için yapıyor olsa bile.
NPM paket adları tam olarak ince değildi, bu yüzden onları fark etmelisiniz.
Neyse ki, dolandırıcılar (yanlışlıkla olduğunu varsayıyoruz) zehirli paketler listelerini yüklemelerinden birine dahil etmeyi başardılar.
Checkmarx bu nedenle bir liste 17,000'den fazla benzersiz sahte ad içeren ve bunlardan sadece küçük bir örnek (her biri alfabenin ilk birkaç harfi için bir tane) bu dolandırıcıların ne tür "mal ve hizmetler" sunduğunu size gösterir:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
Checkmarx ayrıca bir liste Bu sahte NPM paketlerini tanıtan ve bunlara bağlantı veren yayınların yayınlandığı 200'e yakın web sayfası.
Dolandırıcıların bu sitelerden bazıları için zaten kullanıcı adları ve şifreleri varmış gibi görünüyor, bu da onların adlandırılmış veya başka bir şekilde "güvenilir" kullanıcılar ve yorumcular olarak gönderi yayınlamalarına olanak tanıyor.
Ancak, denetlenmemiş veya yetersiz denetlenmiş yorumlara sahip herhangi bir site, bu tür hileli bağlantılarla anonim olarak karıştırılabilir, bu nedenle, tüm topluluk üyelerinizi sitenizde bir hesap oluşturmaya zorlamak, bu tür kötüye kullanımı kontrol etmek için tek başına yeterli değildir.
Çevrim içi kaynak kodu havuzlarının çoğunda olmasa da çoğunda tıklanabilir bağlantılar oluşturmak şaşırtıcı derecede kolaydır ve otomatik olarak bir bütün olarak sitenin görünüşünü ve hissini takip eder.
Tam gelişmiş HTML düzenleri veya CSS sayfa stilleri oluşturmanıza bile gerek yoktur - genellikle projenizin kök dizininde adında bir dosya oluşturursunuz. README.md.
Uzatma .md için kısa MarkdownHTML'nin karmaşık açılı ayraç etiketlerini ve niteliklerini basit metin ek açıklamalarıyla değiştiren, kullanımı son derece kolay bir metin işaretleme dili (orada ne yaptıklarına bakın?).
Mardown'da metni kalın yapmak için etrafına yıldız koyun, böylece **this bit** cesur olurdu Paragraflar için sadece boş satırlar bırakırsınız. Bir bağlantı oluşturmak için, metnin bir kısmını köşeli parantez içine alın ve onu yuvarlak parantez içinde bir URL ile takip edin. Tıklanabilir metin oluşturmak yerine bir URL'den bir resim görüntülemek için, bağlantının önüne bir ünlem işareti koyun ve bu şekilde devam edin.
Ne yapalım?
- İlginizi çekse veya ilginizi çekse bile "ücretsiz" bağlantılara tıklamayın. Sonunun nereye varacağını bilmiyorsun, ama muhtemelen zarar göreceksin. Dolandırıcılar için sahte tıklama başına ödeme trafiği de oluşturuyor olabilirsiniz ve her tıklamanın miktarı çok küçük olsa bile, elinizden geliyorsa siber suçlulara neden bir şey hediye edesiniz?
- Ne kadar zararsız görünürlerse görünsünler, çevrimiçi anketleri doldurmayın. Checkmarx, bu bağlantıların çoğunun sizi bir tür "hediyeler" almaya hak kazanmak için anketler ve diğer "testler" ile sonuçlandığını bildirdi. Bu dolandırıcılık alıştırmasının ölçeği ve genişliği, her biri sizin hakkınızda küçük ve görünüşte önemsiz bilgi tomarları isteyen sahte “anketlerin” bu verileri bağımsız olarak toplamadığını iyi bir şekilde hatırlatır. Her şey sonunda sizi beklediğinizden çok daha fazlasını ele veren devasa bir PII kovasında (kişisel olarak tanımlanabilir bilgiler) toplanır. Anketleri doldurmak, bir sonraki dolandırıcı dalgasına ücretsiz yardım sağlar, o halde yardımcı olabilecekken neden siber suçlulara bir şey hediye edesiniz?
- Denetlenmemiş gönderilere veya yorumlara izin veren bloglar veya topluluk siteleri çalıştırmayın. İstemiyorsanız herkesi bir şifre oluşturmaya zorlamak zorunda değilsiniz, ancak güvenilir bir kişinin her yorumu onaylamasını şart koşmalısınız. Yorum spam'ının hacmini kaldıramıyorsanız (ki bu çok büyük olabilir - ancak çoğu blog hizmetinde çoğundan otomatik olarak kurtulmanıza yardımcı olabilecek filtreleme araçları bulunur), yorumları kapatın. Bir yorumdaki sahte bağlantı, aslında dolandırıcılar için ücretsiz bir hizmettir, o halde yardımcı olabilecekseniz neden siber suçlulara herhangi bir şey hediye edesiniz?
Hatırlamak…
...tıklamadan önce düşün, ve şüpheniz varsa, vermeyin!
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
