جاناتان سویفت احتمالاً بیشتر به خاطر رمانش مشهور است سفرهای گالیور، که در طی آن راوی، لموئل گالیور، با یک انشقاق سیاسی-اجتماعی در جامعه لیلیپوتی مواجه می شود که ناشی از بحث های پایان ناپذیر در مورد اینکه آیا باید یک تخم مرغ آب پز را در انتهای بزرگ باز کنید یا در انتهای کوچک، ایجاد می شود.
این مشاهدات طنزآمیز به شدت به علوم رایانه مدرن سرازیر شده است، با CPUهایی که اعداد صحیح را با کمترین بایت های مهم در کمترین آدرس های حافظه نشان می دهند. کمی endian (مثل نوشتن سال 1984 پس از میلاد است 4 8 9 1
، در واحدهای دنباله ای-ده ها-صد-هزار)، و آنهایی که مهم ترین بایت ها را در ابتدا در حافظه قرار می دهند (همانطور که اعداد به طور معمول نوشته می شوند: 1 9 8 4
) شناخته شده به عنوان بزرگ-endian.
البته سوئیفت یک یادداشت طنزآمیز دیگر به ما داد که نسبتاً دقیق در مورد حملات زنجیره تامین منبع باز اعمال می شود، جایی که برنامه نویسان تصمیم می گیرند از پروژه X استفاده کنند، فقط متوجه می شوند که X به Y بستگی دارد، که خود به Z بستگی دارد، که به A بستگی دارد. B و C که به نوبه خود…
... شما عکس را دریافت می کنید.
این مشاهدات در مجموعه ای از اظهارات در مورد شاعران آمده است که به اندازه کافی در یک شعر ظاهر می شود:
بنابراین، ناترالیست ها مشاهده می کنند، یک کک کک های کوچکتری دارد که او را طعمه می کنند، و اینها هنوز کوچکتر هستند که آنها را گاز بگیرند، و بنابراین تا بی نهایت ادامه می دهند.
ما مطمئن نیستیم، اما حدس می زنیم که تغییر واکه بزرگ هنوز در اواخر دهه 1600 و اوایل 1700 کامل نشده بود، و -EA
به قول سوئیفت کک در آن زمان تلفظ می شد، همانطور که ما هنوز، به طور عجیبی، the را تلفظ می کنیم -EY
in شکار امروز. بنابراین شعر با صدای بلند خوانده می شود له کردن قافیه کردن با دعا. (این کسب و کار استفاده شده الکترونیکی به همین دلیل است که مردم بریتانیا هنوز هم می گویند DARBY
وقتی نام مکان را می خوانند مسابقه اسب دوانی، یا BARKSHIRE
زمانی که آنها بازدید می کنند رویال برکشایر.)
پشته های کک مضر تلقی می شوند
بنابراین، ما به این ایده عادت کردهایم که محتوای سرکش آپلود شده در مخازن بسته منبع باز عموماً به دنبال تزریق بدون توجه به «پشتههای کک» وابستگیهای کد است که برخی از محصولات بهطور ناخواسته هنگام بهروزرسانی خودکار دانلود میکنند.
اما محققان شرکت تست امنیت زنجیره تامین Checkmarx اخیراً هشدار داد در مورد یک سوء استفاده بسیار کمتر پیچیده و در عین حال بالقوه بسیار مزاحم تر از مخازن محبوب: به عنوان "redirector" پیوندهای فیشینگ.
محققان متوجه صدها ویژگی آنلاین مانند سایتهای وبلاگ نویسی وردپرس شدند که مملو از پستهای کلاهبردار بودند…
... که به هزاران URL میزبانی شده در مخزن بسته NPM مرتبط است.
اما آن «بستهها» برای انتشار کد منبع وجود نداشتند.
آنها صرفاً به عنوان مکانهایی برای وجود داشتند README
فایلهایی که حاوی لینکهای نهایی هستند که کلاهبرداران میخواستند افراد روی آن کلیک کنند.
این پیوندها معمولاً شامل کدهای ارجاعی هستند که برای کلاهبرداران یک پاداش متوسط ایجاد میکنند، حتی اگر شخصی که روی آن کلیک میکند این کار را صرفاً برای دیدن آنچه روی زمین انجام میدهد انجام میدهد.
نام بسته های NPM دقیقاً ظریف نبودند، بنابراین باید آنها را شناسایی کنید.
خوشبختانه، کلاهبرداران (به طور ناخواسته، ما فرض می کنیم) موفق شدند لیست بسته های سمی خود را در یکی از آپلودهای خود قرار دهند.
چکمارکس بنابراین یک را منتشر کرده است فهرست حاوی بیش از 17,000 نام جعلی منحصر به فرد، که فقط یک نمونه کوچک از آنها (هر کدام برای چند حرف اول الفبا) به شما نشان می دهد که این کلاهبرداران ادعا می کنند چه نوع "کالاها و خدماتی" ارائه می دهند:
active-amazon-promo-codes-list-that-work-updates-daily-106 bingo-bash-free-bingo-chips-and-daily-bonus-222 call-of-duty-warzone-2400-points-for-free-gamerhash-com778 dice-dream-free-rolls evony-kings-return-upgrade-keep-level-35-without-spending-money779 fifa-mobile-23--new-toty-23-make-millions546 get-free-tiktok-followers505 how-can-i-get-my-snap-score-higher796 instagram_followers_bot_free_apk991 jackpot_world_free_coins_and_jewels307 king-of-avalon--tips-and-tricks-to-get-free-gold429 lakers-shirt-nba-jersey023 . . .
چکمارکس همچنین الف فهرست نزدیک به 200 صفحه وب که در آنها پست هایی منتشر شده بود که این بسته های جعلی NPM را تبلیغ و به آنها پیوند می داد.
به نظر می رسد که کلاهبرداران قبلاً برای برخی از این سایت ها نام کاربری و رمز عبور داشتند که به آنها اجازه می داد به عنوان کاربران و بازبینان نامگذاری شده یا «معتمد» پست کنند.
اما هر سایتی با نظرات کنترل نشده یا ضعیف می تواند به طور ناشناس با این نوع پیوندهای سرکش ایجاد شود، بنابراین فقط مجبور کردن همه اعضای انجمن خود برای ایجاد یک حساب کاربری در سایت شما برای کنترل این نوع سوء استفاده کافی نیست.
ایجاد پیوندهای قابل کلیک در بسیاری از مخازن کد منبع آنلاین، اگر نه بیشتر، به طرز شگفت انگیزی آسان است و به طور خودکار ظاهر و ظاهر سایت را به عنوان یک کل دنبال می کند.
شما حتی نیازی به ایجاد طرحبندی کامل HTML یا سبکهای صفحه CSS ندارید – معمولاً فقط یک فایل در دایرکتوری ریشه پروژه خود ایجاد میکنید که به آن میگویند. README.md
.
پسوند .md
کوتاه است مدل های نشانه گذاری، یک زبان نشانه گذاری متن بسیار آسان برای استفاده (ببینید آنها در آنجا چه کردند؟) که برچسب ها و ویژگی های پیچیده زاویه ای HTML را با حاشیه نویسی های متنی ساده جایگزین می کند.
برای پررنگ کردن متن در Mardown، فقط ستارهها را دور آن قرار دهید **this bit**
جسورانه خواهد بود برای پاراگراف ها فقط خطوط خالی بگذارید. برای ایجاد یک پیوند، کافی است مقداری متن را در کروشه قرار دهید و آن را با یک URL در کروشه های گرد دنبال کنید. برای نمایش یک تصویر از URL به جای ایجاد متن قابل کلیک روی آن، یک علامت تعجب در مقابل لینک قرار دهید و غیره.
چه کاری انجام دهید؟
- روی پیوندهای "freebie" کلیک نکنید، حتی اگر متوجه شدید که علاقه مند یا شیفته هستید. شما نمی دانید که در نهایت به کجا خواهید رسید، اما احتمالاً به ضرر شما خواهد بود. همچنین ممکن است در حال ایجاد ترافیک جعلی پرداخت به ازای هر کلیک برای کلاهبرداران باشید، و حتی اگر مبلغ هر کلیک ممکن است ناچیز باشد، چرا اگر می توانید به مجرمان سایبری چیزی هدیه دهید؟
- نظرسنجی های آنلاین را پر نکنید، مهم نیست که چقدر بی ضرر به نظر می رسند. چکمارکس گزارش داد که بسیاری از این پیوندها با نظرسنجی ها و سایر "آزمون ها" ختم می شوند تا شما را برای نوعی "هدایا" واجد شرایط کنند. مقیاس و گستردگی این تمرین کلاهبرداری یادآور خوبی است که «نظرسنجیهای» جعلی که هر کدام از آنها اطلاعات کوچک و ظاهراً بیاهمیتی را درباره شما میخواهند، آن دادهها را بهطور مستقل جمعآوری نمیکنند. همه اینها در یک سطل بزرگ از PII (اطلاعات قابل شناسایی شخصی) جمع آوری می شود که در نهایت بسیار بیشتر از آنچه انتظار دارید به شما هدیه می دهد. پر کردن نظرسنجی ها به موج بعدی کلاهبرداران کمک رایگان می کند، پس چرا اگر می توانید به مجرمان سایبری چیزی هدیه دهید؟
- وبلاگها یا سایتهای انجمنی را که اجازه پستها یا نظرات کنترل نشده را میدهند، راهاندازی نکنید. اگر نمی خواهید مجبور نیستید همه را مجبور به ایجاد رمز عبور کنید، اما باید از یک انسان قابل اعتماد برای تأیید هر نظر بخواهید. اگر نمیتوانید حجم هرزنامههای نظر را کنترل کنید (که میتواند بسیار زیاد باشد – اگرچه اکثر سرویسهای وبلاگ نویسی دارای ابزارهای فیلترینگ هستند که میتوانند به شما کمک کنند تا بیشتر آن را به طور خودکار از بین ببرید)، نظرات را خاموش کنید. پیوند جعلی در یک نظر اساساً یک سرویس رایگان برای کلاهبرداران است، پس چرا اگر میتوانید به آن کمک کنید، به مجرمان سایبری چیزی هدیه دهید؟
یاد آوردن…
...قبل از اینکه کلیک کنید فکر کنیدو اگر شک دارید، آن را بیرون ندهید!
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/02/22/npm-javascript-packages-abused-to-create-scambait-links-in-bulk/
- 000
- 1
- 1984
- a
- درباره ما
- مطلق
- سو استفاده کردن
- حساب
- Ad
- آدرس
- اهداف
- معرفی
- الفبا
- قبلا
- مقدار
- و
- ناشناس
- دیگر
- به نظر می رسد
- به درستی
- تصویب
- استدلال
- کمک
- حمله
- خواص
- نویسنده
- خودکار
- بطور خودکار
- تصویر پس زمینه
- قبل از
- بزرگ
- وبلاگ ها
- جسور
- مرز
- پایین
- وسعت
- انگلیسی
- کسب و کار
- نام
- ایجاد می شود
- مرکز
- زنجیر
- چک مارکس
- ادعا
- نزدیک
- رمز
- جمع آوری
- رنگ
- توضیح
- نظرات
- انجمن
- کامل
- پیچیده
- کامپیوتر
- علم کامپیوتر
- در نظر گرفته
- محتوا
- کنترل
- میتوانست
- دوره
- پوشش
- ایجاد
- ایجاد
- CSS
- مجرمان سایبری
- داده ها
- بستگی دارد
- DID
- نمایش دادن
- عمل
- آیا
- شک
- دانلود
- در طی
- هر
- در اوایل
- زمین
- به پایان می رسد
- کافی
- اساسا
- حتی
- هر
- هر کس
- کاملا
- ورزش
- انتظار
- گسترش
- جعلی
- معروف
- کمی از
- پرونده
- فایل ها
- پر کردن
- فیلتر
- نهایی
- پیدا کردن
- نام خانوادگی
- به دنبال
- به دنبال آن است
- استحکام
- رایگان
- از جانب
- جلو
- عموما
- دریافت کنید
- هدیه
- GitHub
- دادن
- می دهد
- رفتن
- خوب
- بزرگ
- دسته
- ارتفاع
- کمک
- میزبانی
- در تردید بودن
- چگونه
- HTML
- HTTPS
- بزرگ
- انسان
- صدها نفر
- اندیشه
- تصویر
- in
- شامل
- مشمول
- از جمله
- به طور مستقل
- اطلاعات
- در عوض
- علاقه مند
- IT
- خود
- جاوا اسکریپت
- دانستن
- شناخته شده
- زبان
- دیر
- ترک کردن
- خطوط
- ارتباط دادن
- مرتبط
- لینک ها
- فهرست
- کوچک
- ساخت
- اداره می شود
- بسیاری
- حاشیه
- ماده
- حداکثر عرض
- اعضا
- حافظه
- قدرت
- مدرن
- بیش
- اکثر
- تحت عنوان
- نام
- نیاز
- خالص
- بعد
- طبیعی
- رمان
- تعداد
- مشاهده کردن
- ارائه
- ONE
- آنلاین
- باز کن
- منبع باز
- دیگر
- در غیر این صورت
- بسته
- بسته
- کلمه عبور
- کلمه عبور
- پل
- مردم
- شخص
- شخصا
- فیشینگ
- تصویر
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- محبوب
- موقعیت
- پست
- پست ها
- بالقوه
- شاید
- محصولات
- برنامه نویسان
- پروژه
- ترویج
- املاک
- منتشر کردن
- منتشر شده
- قرار دادن
- واجد شرایط شدن
- خواندن
- تازه
- مراجعه
- گزارش
- مخزن
- نشان دادن
- نیاز
- محققان
- پاداش
- خلاص شدن از شر
- ریشه
- دور
- دویدن
- مقیاس
- ناظران
- کلاهبرداری
- علم
- تیم امنیت لاتاری
- سلسله
- سرویس
- خدمات
- تغییر
- کوتاه
- باید
- نشان می دهد
- قابل توجه
- ساده
- به سادگی
- سایت
- سایت
- کوچک
- کوچکتر
- So
- جامعه
- جامد
- برخی از
- مصنوعی
- صدا
- منبع
- کد منبع
- اسپم
- Spot
- مربع
- پشته
- ستاره
- هنوز
- چنین
- عرضه
- زنجیره تامین
- SVG
- SWIFT
- تست
- La
- شان
- از این رو
- هزاران نفر
- از طریق
- به
- امروز
- ابزار
- بالا
- ترافیک
- انتقال
- شفاف
- مورد اعتماد
- دور زدن
- به طور معمول
- در نهایت
- منحصر به فرد
- به روز رسانی
- آپلود شده
- URL
- us
- استفاده کنید
- کاربران
- معمولا
- حجم
- خواسته
- موج
- وب
- چی
- چه
- که
- تمام
- عرض
- اراده
- کلمه
- وردپرس
- خواهد بود
- نوشته
- کتبی
- X
- سال
- شما
- شما
- زفیرنت