Опасная техника кибератаки с применением JavaScript была предложена независимым исследователем Диланом Эйри.
Эйри разместил на GitHub демонстрационный пример кибератаки. Техника получила название Pastejacking. По словам исследователя, отличительная черта метода – возможность копирования текста сразу после нажатия CTRL+C или спустя небольшой временной промежуток. При этом браузер не просит пользователя подтверждать изменение содержимого буфера обмена.
Кроме того, техника Эйри предусматривает облегченный способ подстановки шестнадцатеричных символов в буфер обмена. Пользователь не должен копировать весь вредоносный текст с сайта. Для того, чтобы атака была успешно осуществлена, необходимо лишь несколько символов.
Эйри показал, каким образом хакер может дистанционно запускать на устройстве вредоносный код, очищать консоль, а затем скрытно добавлять скопированный код.
Исследователь предложил копировать в буфер обмена строку echo “not evil”, которая на терминале будет заменена на echo "evil"\n.
Чтобы скрытия вредоносную активность, можно воспользоваться командой:
touch ~/.evil
clear
echo "not evil"
Использование данной команды запустит создание вредоносного файла в домашней директории и повлечет за собой очистку терминала.