One link per day for the next 31

I am harvesting card numbers and passwords from your site. Here is how.


17/01/2018     permalink     linked site


Ce petit tuto assez simple se résume en quelques idées :

  • faire un package (utile en soi), qui contient un mouchard qui récupère et fait suivre les informations sensibles.
  • lancer une pull requests sur une centaine de gros projets, pour avoir ledit package en dépendance.
  • statistiquement il y en a bien un ou deux qui vont l'accepter, ne serais-ce que sur un malentendu.
  • avoir le plaisir de voir son mouchard exécuté par les milliers de machines qui tournent avec ces gros projets.

C'est simple et efficace.

L'article donne ensuite part belle à des méthodes de protections contre ce genre d'attaque.