Pastejacking — что это?

[aamonster]

Вы сломали мне мозг.

Вначале описание каких-то угроз, а потом предложение скачать что-то из сети и сделать "sudo pastejacker". Это что, тест IQ для script kiddies?

[Aquahawk]

Это все хорошо, только огромное количество софта предлагает вот такую инструкцию установки

curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ee/script.deb.sh | sudo bash

Я вот только что это взял с официальной инструкции гитлаба https://about.gitlab.com/install/#debian

но не только они это делают. И люди реально вводят ээту команду и ставят так софт.

[me21]

Опасность в том, что могут взломать гитлаб и разместить там вредоносный скрипт?

[includedlibrary]

https://lukespademan.com/blog/the-dangers-of-curlbash/

В том, что при разрыве соединения скрипт исполнится не полностью, а также в том, что можно распознать curl или wget, который передаёт данные в bash, и возвращать что-нибудь нехорошее

[eps]

Их дело — предложить, наше дело — отказаться.

Прикладные программы отлично ставятся из своего пакетного менеджера или Flatpak или AUR, всякие сервисы вроде Gitlab — идут в docker container

[eps]

Достаточно, чтобы ваш терминал не вставлял концы строк из буфера обмена без вашего разрешения

На Mac OS так умеет делать iTerm (brew install iterm2).

• Во-первых, у него есть «composer» ⇧ ⌘ ., безопасное место, чтобы вставить команду, изучить, исправить её, и выполнить
• Во-вторых, он предупреждает, когда пытаешься вставить строку с \n, говорит что-то типа «Confirm Multi-Line Paste. OK to paste 3 lines at shell prompt?» и предлагает содержимое посмотреть и поправить

[eps]

Ожидал менее топорную атаку.

• Например, незаметные подмены при копировании — например, видишь curl https://raw.github.com/..., а копируется curl https://raw.gitnub.com/....
• Например, скрытие полезной нагрузки хитрыми unicode-символами, чтобы она визуально как будто отсуствовала. — хотя бы взять исходную команду + \n + тысяча пробелов + полезная нагрузка + \n
• Например, резидентную программу, которая подменяет текст ровно в тот момент, когда её вставляешь в терминал после изучения — и не трогает текст, если вставлять в текстовый редактор.