LINUX.ORG.RU

Как не я воровал номера кредиток и пароли у посетителей чужих сайтов

 


1

2

«Итак, моим методом для распространения вредоносного кода стал npm. Мне надо было лишь придумать троянского коня — пакет, несущий хоть какую-нибудь пользу, который веб-мастера устанавливали бы, не беспокоясь о возможных проблемах.

Тут надо сказать, что людям нравятся симпатичные цвета — это то, что отличает нас от собак. Поэтому я создал пакет, который позволяет выводить данные в консоль, раскрашивая текст. Вот как это выглядит:

А вот, если надо, исходный код.

Я был в этот момент весьма взвинчен, так как у меня был интересный пакет, всё было готово к выполнению моего плана, но мне не хотелось ждать, пока заинтересованные лица медленно обнаружат этот пакет и начнут использовать. Поэтому я начал делать пулл-реквесты в существующие пакеты, которые добавляли мой пакет к их зависимостям.

Я сделал несколько сотен реквестов (с разных аккаунтов, ни один из них не раскрывал моего реального имени) в разные фронтденд-пакеты и в их зависимости. «Слушайте, я исправил проблему X и ещё добавил возможности логирования».

Вы только посмотрите — я делаю вклад в опенсорс! Мне встретилось множество здравомыслящих людей, которые заявляли, что новая зависимость им не нужна, однако, я вполне был к такому готов. Тут всё дело — в количестве.

В итоге меня ждал оглушительный успех, и от моего кода для раскрашивания вывода в консоль теперь зависело 23 пакета. Один из них был в зависимостях у весьма широко используемого пакета — это была, так сказать, моя денежная корова. Не буду приводить названий, но такие вот распространённые пакеты — это именно то, что мне было нужно.

И это — только один пакет. Похожих было ещё 6.

Тогда я вышел более чем на 120000 загрузок в месяц, и с гордостью мог заявить, что мой вредоносный код ежедневно выполняется на тысячах сайтов, включая кое-какие из списка Alexa Top 1000, отправляя мне целые реки имён пользователей, паролей и данных по кредитным картам.

Вспоминая эти золотые годы, я не могу поверить, что люди прилагают столько усилий для совершения XSS-атак, которые затрагивают всего лишь один сайт. Ведь так легко внедрить собственный код на тысячи сайтов, воспользовавшись невольной помощью веб-разработчиков.»

★★★★★

Так это же npm-помойка. Уже было дело, что пароли стояли из списка топ-100 и когда это вскрылось их поменяли обратно на такие же или суть такие же. Хипсторы, что с них взять.

crutch_master ★★★★★
()
Последнее исправление: crutch_master (всего исправлений: 1)

Мне встретилось множество здравомыслящих людей, которые заявляли, что новая зависимость им не нужна

Еще не все хипстанулись, однако.

bread
()
Ответ на: комментарий от quantum_cat

Люблю фантастику.

В тексте не вся правда.

Deleted
()
Последнее исправление: rht (всего исправлений: 1)

Привет хабролюди!

J ★★★★★
()

Я больше скажу. Это приняло масштабные обороты и вполне легально. Так, ради быстрой оплаты на AliExpress покупатели доверяют данные своих банковских карт AliPay, не зная об этом. В свою очередь, AliPay, собирая данные карт для быстрой оплаты покупок, ничего не знает о держателях этих карт, пока те не зарегистрируются! (Хотя и говорится, что платежная система Alipay прекратила обслуживание клиентов AliExpress с 1 января 2017 года, но это не так. Сбор данных продолжается.)

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

Покупателям в 21 веке хорошо бы заиметь мозги, и начать пользоваться нормальными банками с виртуальными картами. Данные которых можно при желании хоть на право и налево раздавать. А в ещё более нормальных банках можно генерить такие виртуалки хоть для каждой покупки.

anonymous
()

М-ммм, какая прохладная и сладкая история

Manhunt ★★★★★
()
Ответ на: комментарий от anonymous

А в ещё более нормальных банках можно генерить такие виртуалки хоть для каждой покупки.

Пару примеров таких нормальных банков? А то на практике похоже их надо специально искать и обнаружится, что или обслуживание дорогое или чего-то.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

ЯД, например.«Бесплатная» виртуальная карта прилагается

anonymous
()
Ответ на: комментарий от iZEN

есть варианты веселее. некоторые особо избранные компании находятся в некоем «золотом» списке визы/мастеркарда. и поимев один раз с тебя данные карты, могут списывать с нее средства без твоего на это подтверждения

например - близзард

anonymous
()
Ответ на: комментарий от anonymous

Но на виртуальной карте, с надписью Мастер Карт, денег ровно на одну выбранную покупку. Что они будут списывать в этом случае?

anonymous
()
Ответ на: комментарий от anonymous

Да, для того же Aliexpress подтверждения не спрашивает, что меня озадачивает каждый раз, учитывая что это Aliexpress...

roiman
()
Ответ на: комментарий от roiman

Да, для того же Aliexpress подтверждения не спрашивает, что меня озадачивает каждый раз, учитывая что это Aliexpress...

не стоило говорить «запомнить данные карты»

anonymous
()
Ответ на: комментарий от anonymous

Наугад зашел на киви - комиссия 2.5%. Круто, чо.

wolph ★★
()
Ответ на: комментарий от anonymous

Нет, я слежу за этим внимательно. Aliexpress именно входит в список доверенных.

roiman
()

Всё, больше никогда не буду платить в интернете, добавлять зависимости и покупать процессоры от Intel, слишком страшно жить!

Alve ★★★★★
()
Ответ на: комментарий от anonymous

и поимев один раз с тебя данные карты, могут списывать с нее средства без твоего на это подтверждения

Без 3DS? Можно следить за списаниями по смс и оперативно (в течение суток) отменить платеж, позвонив в банк.

NULL
()

Сами себе злые Буратино. Надо исходники читать чужих библиотек.

leprikon
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.