El que nunca haya copiado un comando desde la web para pegarlo en su terminal, que lance la primera piedra. No es algo que hagan solo usuarios novatos en Linux, sino en cualquier sistema, y es tan común entre los mismos desarrolladores -hasta los más veteranos- que la misma Stack Overflow convirtió su teclado para ‘copiar y pegar’ en un gadget real con bastante demanda.
Pues el especialista en ciberseguridad Gabriel Friedlander, acaba de mostrar un “simple truco con el que te pueden hackear por un copy paste accidental“. Para Gabriel, la demostración que ha publicado en su web es más que razón suficiente por la que nunca deberíamos copiar comandos desde la web directamente en nuestra terminal.
Friedlander explica que lo único que hace falta es una simple línea de código inyectada dentro del código que estás copiando para crear una puerta trasera a tu app. De hecho, puedes hacer la prueba directamente en su blog copiando un comando común y corriente que muchos hemos usado en Linux: “sudo apt update”.
Si entras en el blog en cuestión y copias el código y lo pegas en el cajón debajo (o en cualquier otro lugar como tu bloc de notas), puedes ver como lo que pegaste es completamente diferente al comando copiado. En este caso se trata de un comando malicioso, y el detalle importante aquí es que al pegarlo se añade una nueva línea automáticamente.
Esto quiere decir que cuando hayas pegado el comando ya será demasiado tarde, puesto que añadir una nueva línea hace que la terminal ejecute automáticamente el comando, así que sin importar que hayas notado que el comando que pegaste no es el correcto, ya no podrás hacer nada para evitar su ejecución.
Este tipo de scripts tienen obviamente usos legítimos, pero este es un ejemplo de cómo se puede explotar para el mal de forma creativa, y quizás sirve de advertencia para no copiar comandos desde cualquier lugar extraño en Internet.
Una recomendación de Gabriel para prevenir esto es que podemos añadir un “#” detrás del código antes de pegarlo para convertirlo en un comentario y que no se ejecute. Una recomendación de Gabriela, es pegar el código antes en cualquier otro lado que no sea la terminal para verificar que estás pegando el contenido original y nadie te está jugando una.
