Deep Dive
Shownotes Transcript
内容警告:本期节目包含对剥削、自残和虐待的描述。请谨慎收听。 一个名为 764 的网络将虐待变成了货币。它通过 Discord、Telegram 和游戏平台传播——围绕“典故书”构建,典故书是为获得地位而交易的强迫暴力合集。奇怪的是,这个伤害群体与我们之前在这个节目中报道过的网络犯罪集团有关。 注意:我在办公室录音,加上主题内容,解释了为什么我的语气在这个节目中相当压抑。 《被黑客入侵》由 Push Security 提供——帮助公司在身份攻击发生之前阻止它们。网络钓鱼、凭据填充、会话劫持——Push 正在其开始的地方解决问题:浏览器。智能、无缝且专为人们的实际工作方式而构建。请访问 pushsecurity.com 查看详情。了解更多关于您的广告选择的信息。访问 podcastchoices.com/adchoices</context> <raw_text>0 注意,请谨慎收听。本故事包含对虐待的描述,包括自残和对未成年人的剥削。我认为理解这个故事的一个好方法是从“典故书”的概念开始。在互联网某些非常黑暗的角落,“典故书”是一种货币。它们是成员加入的方式,是他们获得地位的方式,是他们晋升的方式。“典故书”是文件的集合,照片、视频和屏幕截图记录了伤害。
有时是身体上的,总是精神上的。不幸的是,这里有一些具体的例子。“典故书”可能包含一张照片,照片上一个人将用户名刻在自己的皮肤上,宠物受到伤害,或受害者被胁迫做一些露骨的事情。资料越极端,在这些群体中的价值就越高。这就是“典故书”,一份虐待证据的档案。
我想我们都很不幸地意识到,互联网上存在一些黑暗的角落,在那里会制作、交易和消费这种剥削行为。但在这些社区中,虐待材料是最终目标。它是产品。这是一个此类商品的市场。奇怪的是,在像 764 这样的群体中(由于最近的逮捕,我们今天要讨论这个群体),虐待并不是全部重点。它更像是一种工具。
一种用来操纵、引诱、激进化和教唆某人加入基本上是一个邪教的机制。764 是一个分散的在线虐待网络,成员主要胁迫未成年人进行虐待、自残和暴力行为,然后将这些内容作为数字货币进行交易。它始于 Discord,传播到 Telegram、Roblox、Minecraft,
虽然表面上它看起来像是一个诱奸团伙(它确实是),但它的结构更像是一个在线极端主义运动。一个通过服从建立忠诚度、通过残酷考验界限、并通过这种非常严格的等级制度奖励参与的运动。
为了提供一些证据表明我们正在处理一些不同的事情,联邦调查局现在已经对 764 展开了 250 多项积极调查。由于其极端主义和邪教式的结构,联邦检察官开始将该网络不仅视为儿童剥削团伙,还视为国内恐怖主义威胁。它发生在美国、加拿大、罗马尼亚、德国、英国、土耳其。受害者已在三大洲被发现。
虽然很黑暗,但我认为这个故事仍然在我们关注的范围内。但事情开始变得非常奇怪的地方在于,我们并不是第一次在这个节目中关注这个群体。我们当时只是不知道而已。764 是一个更广泛的生态系统“comm”的一小部分。这是一个松散的网络犯罪团伙网络,包括 SIM 卡交换者、数据经纪人、社会工程师,传统的网络犯罪,与伤害或虐待无关。
其中许多人与我们在这个节目中报道过的非常高调的袭击事件有关。“comm”(再次强调,这不是 764,而是更大的组织)与 MGM 度假村黑客事件、Snowflake 数据泄露事件以及 Lapsus 和 Scattered Spider 等组织的袭击事件有关。764 是一个在线伤害邪教。那些是网络犯罪集团。Krebs 和 Wired 等网站最近的报道显示,在其历史上,有时是同一些人在两者中。
这种重叠非常重要,因为我们现在开始看到网络犯罪团伙和这种基于伤害的极端主义模式之间越来越多的交叉点。维恩图的圆圈并没有过多地接触,但它们接触的事实令人震惊。人们利用网络犯罪论坛中开发的敲诈勒索策略,将受害者招募到这种类似邪教的环境中。
今年 4 月,两名所谓的邪教成员,居住在希腊的美国公民莱昂尼达斯·瓦吉亚尼斯和来自北卡罗来纳州的普拉桑·尼泊尔被捕,并被指控经营该组织最暴力的一个子组织,这就是我们现在要讨论的原因。所以让我们深入研究一下。764 的兴起,从一个青少年的 Discord 到一个全球性的数字虐待邪教,以及在线伤害、激进化和网络犯罪之间日益融合的趋势。在《被黑客入侵》节目中。
斯科特,你好吗?
还不错,还不错。这个故事听起来很激烈,但我很好。你呢?我很好。我确实花了不少时间阅读一些非常黑暗的事情,但这很有趣,而且似乎很重要。我很感兴趣。显然,你知道互联网上存在这样的事情。你知道那里有黑暗的灵魂。不是游戏中的暗黑灵魂,而是……是的。
人们的比喻。互联网上存在黑暗的灵魂,并且存在黑暗的灵魂在互联网上隐藏的角落。所以你会有一个直觉,如果互联网上可能发生某些事情,那么它很可能正在互联网上发生。我对与网络犯罪的重叠感到着迷。这就是让我感兴趣的地方,因为对我来说,这两件事通常不会同时发生。对我来说,你知道,对我来说,年轻的网络罪犯是
黑客或我认为是问题解决者并且对挑战和克服困难感兴趣的人。他们是从这个角度追求的。我没有看到他们。但我猜在每个钟形曲线中,平均值的两侧都有三个标准差。所以,如果一个社区足够大,你可以假设其中包含来自其他每个社区的代表。我认为这是一个很好的说法。是的。
为了完成我们在本节目中报道的许多事情,为了成为一个问题解决者、黑客、谜题破解者,你必须愿意破坏东西。总有一些人,比如说,95% 的人愿意为了达到目标而破坏某些东西。我们已经看到过这样的故事,其中 5% 的人是为了破坏而参与的。我认为这就是同样的比例,但可能是在社会工程方面看到的。
在那里,大多数情况下,人们愿意操纵、背叛信任,但这通常是更大项目的一部分。背叛信任和操纵人们并以此获得控制并不是最终目的,而是一种手段。我认为我们在这里看到的是,如果一个社区发展起来,而这正是最终目的呢?他们试图做的事情就是社会胁迫。除了控制之外,它没有任何意义。是的,所以我想……
继续破坏东西的比喻,也许你只是在想办法破坏人类,这听起来像是……Wired 做了一些非常好的报道,Krebs on Security 也做了一些非常好的报道,他确实是将这个组织与“comm”联系起来的人,再次明确一点,“comm”不是一个伤害组织,这是一个网络犯罪组织,与……
但 CBC 做了一些非常好的报道,正如你所说,他们发现的原因是,之所以针对未成年人,主要是因为他们更容易操纵和破坏。当然。未成年人几乎是偶然的。看起来,如果他们可以对成年人这样做,他们就会这样做。更多的是关于你是否可以欺骗一个人并以这种方式远程控制他们。而孩子们只是个容易的目标,这不是一群好人。是的。
我觉得这是一种……我不知道。我昨天去了商场,亲眼看到了青少年的焦虑。这在我身边并不常见。我周围很少有未成年人。但我去了苹果商店取东西,亲眼看到了我周围青少年的焦虑。是的。
我还记得那些日子。我还记得初中、高中。我还记得你的生物化学都乱套了,一切都是最重要的事情。有趣的是,当你像我们一样老了之后,高中、初中只是你生命中很小的一小部分。但当你身处其中时,它感觉如此重要,尤其因为你的生物化学有点乱套了。
你很脆弱。你很脆弱,完全脆弱。是的,这使得社会工程更容易进行。然后,正如我们在社会工程和网络犯罪的背景下所看到的,存在着沉没成本的压缩,你已经深入到某个事情的两个步骤,感觉我已经走了这么远。就像,不,你只是打了 10 分钟的电话。你可以挂断电话,你可以退缩。你没有,你回到了你开始的地方。
但当你年轻的时候,这会加速。然后,当这些群体慢慢地开始引诱人们并用越来越多的……你已经做过这个了。现在你已经做过这个了。开始形成一个循环。所以就像我说的,我们将讨论这个问题。然后我们将休息一下。然后我们将讨论本期节目中由 Push Security 提供的其他一些内容。
所以,在 4 月份,美国执法部门逮捕了两名男子,他们被指控领导一个名为 7-6 Inferno 的组织,这是 7-6-4 的一个派系,我提到的莱昂尼达斯和佩尔桑。根据司法部的声明,这两名男子都帮助指挥针对未成年人的行动,使用敲诈勒索,帮助创建和分发这些“典故书”,这些虐待证据的图形包等等。
在这些社区内部交易这些内容,以建立信誉并招募其他人加入。司法部将此标记为……我发现这种说法很有趣,这是一个虚无主义的暴力极端主义网络,这在这些类型的案件中通常不会使用这种说法,但对于该团体的策略和意识形态来说,这似乎非常准确。联邦调查局的反恐部门现在正在调查此事。
它是由……Alison Nixon 的一句很好的引言。她是 Unit 221B 的研究员。这是一场与“comm”相关的犯罪浪潮,是由少数几个高产的参与者推动的。所以逮捕似乎有效,因为这不是一个庞大的人员团队,但他们正在如此积极地进行这项活动,并花费大量时间在上面,以至于似乎只有相对较少的人参与其中。正如我在引言中提到的那样,
存在一个更大的数字生态系统,称为“comm”。这是一个涵盖许多不同组织的总称。很多只是从事网络犯罪、数据经纪和 SIM 卡交换。但随后它开始与其他群体(如邪教和宫廷社会)交叉。我甚至不会提及他们所有的名字,因为名字本身就令人作呕。但这两个不同群体之间存在重叠。
在 2023 年 MGM 度假村遭受 Alfie 和黑猫(一名 17 岁的英国黑客,使用 Holly 作为用户名)进行的勒索软件攻击之后,这种重叠变得尤其明显。Holly 声称对入侵负责,研究人员很快就开始发现,同一个 Telegram 帐户活跃在与 764 相关的伤害频道中,Holly 在那里积极交易这些“典故书”,这就是我们开始看到这些联系的方式,我认为
你能解释一下“comm”吗?“comm”由什么构成?我认为 Krebs 对此有一个很好的答案。我在这里引用他的话:“总的来说,这个以犯罪为中心的聊天社区群岛被称为‘comm’,它充当一种分布式网络犯罪社交网络,可以促进即时连接。但大多数情况下,‘comm’是一个网络罪犯炫耀他们的功绩和在社区中的地位,或者贬低其他人的地方。”
嗯。
有动作人物。这是一个整体,“comm”。这是一个在线社区。社交网络似乎是一个合适的术语。就像一个犯罪分子,一个黑暗的犯罪分子,我想这就像暗网的现代体现。完全正确,是的。就像一个黑暗的犯罪社交网络。是的,游戏化、积分和影响力。是的,互相嘲讽和吹嘘,然后其他人吹嘘回来,所以你生气了,你就会……完全正确。
所以 764 特别是由一个名叫布拉德利·卡登黑德的人开始的。他是一位来自德克萨斯州斯蒂芬维尔的青少年。他是一个有问题的家伙。卡登黑德于 2020 年创建了一个 Discord 服务器,以他的邮政编码前缀 764 命名。
他使用 Felix 和 Brad 764 等别名,创建了一个空间,根据上下文,显然是未成年人被诱骗到社区中,通过 Minecraft、Roblox,并逐渐被胁迫做出越来越极端的举动,他们被告知要记录和分享这些举动。
在 Discord 58 次标记他上传虐待材料后,卡登黑德于 2021 年 8 月最终被捕。当警方查封他的手机时,他们发现了数十个虐待文件和字面意义上刻在他身体上的用户名图像。2023 年,他被判处 80 年监禁。764 是德克萨斯州斯蒂芬维尔。当我第一次听到这个组织名称时,我做的第一件事就是将其转换为字母。就像很多事情一样……
是的,当然。是的,764 是 GFD,这可能意味着任何东西,但我对听到它是基于一个地区代码感到好奇,因为我认为它会更具颠覆性。是的。这也是不好的运营安全。我很高兴它不是好的运营安全。这个人不应该出现在公共领域。
而且我想这可能在某种程度上帮助导致了他的逮捕。但邮政编码并不完全是秘密的。没错。我正在查找德克萨斯州斯蒂芬维尔有多少人居住。
有 20,000 人。实际上这是一个相当小的群体。是的,是的。我们已经缩小了范围。是的,100%。并且来自这所房子的大量流量。所以卡登黑德被捕,社区中的一些新人开始晋升为领导者。
这里有反复出现的主题,我认为你可以在这个更大的表现形式中看到它,那就是……邪教的重点不是一个有魅力的领导者。邪教的重点不是关于世界将会发生什么的故事。邪教的重点是我们利用虐待狂和伤害来控制人们。它就像一个虚无主义的哲学团体。因此,其他虚无主义哲学似乎都被吸引到它身上。
鸭子/血腥屠夫,也被称为安吉尔·路易斯·阿尔梅达,他也被捕了,佛罗里达州的一名男子,有暴力犯罪史,是九角秩序的忠实追随者,九角秩序是一个撒旦新纳粹邪教。看到其他哪些群体被吸引到这一点上,这非常有趣。在他被关押在联邦拘留中心时,阿尔梅达设法从一部违禁手机上发帖,威胁了一个充满人的法庭,说:“引号,当我从这里出来时,我会杀了你们所有人。”
当然。是的,只是一群古怪的人。也许是我的天真,但我现在正在学习很多词。我知道。而且我省略了大部分。这才是真正奇怪的事情。我有我的笔记,它们是由我经历过阅读的不愉快体验的许多不同文件组成的。而且我省略了……
再说一次,如果你想要完整的……不是令人作呕的细节,但如果你真的想理解这一点,Krebs 的报道确实非常好。Wired 做了一些很棒的工作。还有一部 40 分钟的 CBC 记录片值得观看。这是一部艰难的观看体验。太疯狂了。我只是在阅读关于切割标记的内容。是的。那么让我们跳到那里吧。我们为什么不呢?我们为什么不呢?因为我已经释放了不诚实。
希望大家今天早上过得愉快,是的,我希望你们都很好,是的,那是……是的,就像你提到的那样,有切割标记,所以让我们稍微放大一下,它是一个游戏化的虐待邪教,这是一个很好的理解方式,通过胁迫人们做出越来越残忍的行为来获得社会地位,然后让他们发布这些工具,作为……我们之前讨论过“典故书”
粉丝标记,这是他们对记录这些不同行为的照片和视频的内部语言……虐待。虐待。腐败。然后是切割标记,正如我们多次提到的那样,这是将用户名刻在某人身体上的行为。或者对自己这样做以证明……
你已经被完全操纵并且是……这是该结构要求的越来越高的服从程度。通常情况下,在少数情况下,我们将讨论这一点,结果是人们随后被要求……下一个服从行为不是展示你会做什么。而是让其他人参与其中。完全正确。这是传销。这是传销的东西。它被称为结构。所有的心理学都是一样的。一旦你操纵了一个人……
你能操纵他们去操纵另外三个人吗?而这件事会永远持续下去。幸运的是,“幸运的是”这个词用错了。这其中存在一种脆弱性,因为伤害是如此极端,以至于它根本无法像某些事情那样传播。大多数人不会将用户名刻在自己的身体上。大多数人不会记录如此可怕的事情。这再次解释了为什么未成年人是目标。我小时候读过《乱世佳人》。
一本关于曼森的书。曼森邪教。我不禁觉得这是现代对那件事的黑暗转世。100%。它使用了文化的美学……
用于邪恶和危险。就像有一种边缘领主的风格。就像你必须谈论魔鬼和纳粹的东西,因为那是可怕的东西。它就像,这与这件事有关吗?它就像,这无关紧要。那是可怕的事情。这是我们能想到的最黑暗的事情。而这正是其中的一部分。这就是为什么你会看到像血腥屠夫这样的人穿着他的撒旦新纳粹邪教衬衫,并且
那是他最好的衬衫。我不是在开玩笑。还有更糟糕的衬衫牵涉其中。你见过他的衣橱。他的衣橱是他证据的一部分。法庭文件中确实提到了两件衣服。而撒旦新纳粹的那件是两者中比较雅致的。我们之所以讨论这个问题,是因为最近发生了这两起逮捕事件。我们已经讨论过发生的一系列其他逮捕事件。它仍在继续。Telegram 上仍然有数十个此类频道活跃。
在 2023 年,Discord 报告称禁止了 130 个拥有 34,000 个帐户的组织。研究人员仍在 Instagram 和 Meta 平台上发现与之相关的资料。SoundCloud 奇怪地托管着似乎引用……
764 行话的播放列表。然后 Roblox 和 Minecraft 似乎仍然是将人们带入其中的首要途径。这只是一群聚集在一起的未成年人,你可以去那里并将他们带走。重新利用业务发展销售行话的好方法。
漏斗顶部。就像,哦,我们使用 Roblox。里面有大量的弱势 12 岁儿童。做什么?我们将他们从那里转移到 Discord,在那里我们重新社会化他们。然后我们提升他们。那些愿意在队列中前进的人,我们将他们带入私人 Telegram 频道。是的。然后我们记录。伤害。
他们的旅程。他们的用户旅程。他们的用户旅程。这似乎与 A 有关,与更大的网络犯罪黑客组织“comm”的联系,以及最近被捕的两个主要人物莱昂尼达斯和普拉桑的事实。根据美国司法部的说法,他们正在指导和管理 76410(其中一个子组织)的运营。
他们积极地在地面上针对未成年人,分发这些材料,编译和交易这些“典故书”。尼泊尔于 4 月 22 日在北卡罗来纳州被捕。瓦吉亚尼斯于 4 月 29 日在希腊被捕。美国目前正在努力引渡他(录音时)。联邦调查局的宣誓书将这两名男子描述为 764 持续结构中的核心人物。
它还提到了他们在不仅仅是该组织,而且是多个不同平台上的领导作用。他们正在这样做,我不能说他们一直在全职这样做,但他们正在积极地在 Telegram 频道和 Discord 频道中组织活动。他们自己也在游戏中。这不仅仅是社会工程突出的在线社区的延伸,而是同样的事情。我认为你把曼森提出来是对的,这种虚无主义的暴力极端主义是
它如何在网上生存?在现代数字环境中它是什么样的?答案似乎是像 764 这样的东西。很好。是的。我觉得我们通常不需要做任何公开的咨询警告类型的事情,但这一个似乎足够严重。当然。是的。如果你认为这可能发生在你生活中的人身上,并且你在美国,tips.fbi.gov。
988 自杀危机热线。你可以打电话或发短信。有 988lifeline.org。如果你认识某人,并且你认为他们需要帮助,请尽力帮助他们。我想象任何观看这个节目的父母都知道与孩子保持技术素养同理心的重要性,这很难,但越来越重要。但我认为这也只是一个很好的提醒,那就是你可能应该……
你应该努力了解你孩子正在使用的互联网和技术,就像你孩子一样。我知道这并不总是可能的。当我还是个孩子的时候,这当然是不可能的。但这仍然是一个非常好的主意。是的,没错。我很惊讶,这听起来很糟糕,但我惊讶的是警方
并且足够了解它以参与其中。我对警察有一种看法,这可能并不准确,但我没有看到他们像加拿大警察、皇家骑警、美国警察和州警一样。我知道联邦调查局、国家安全局、中央情报局和加拿大秘密服务拥有更多技术素养的部门,
但对于一般的警务工作,我很惊讶他们实际上有能力处理这个问题。但我猜现在,我想起了我们的校园伦理。还记得我们讨论过校园对社交媒体的监控,以确保他们了解正在发生的事情吗?我想 Telegram 可能是新的东西。
不是为了校园抗议,而是为了互联网上的所有事情。你需要监控 Telegram 频道,看看发生了什么,正在计划什么,正在讨论什么。我能想到的每个群体,我不会称他们为极端主义者,但我可以说他们持有温和到极端的观点。如果钟形曲线两侧有两个标准差,则使用 Telegram 作为通信平台。
所以,我想象警务和执法部门已经大大提高了追踪和监控 Telegram 的能力。是的,我认为执法机构内部专门的网络犯罪部门肯定是一个发展中的事物。我想互联网上发生很多犯罪。然后我想归因于此的另一件事是,当你想到……
试图保守一个在线身体虐待、虚无主义死亡邪教的秘密的问题在于,它往往有很多物质证据。就像你让孩子们……再次强调,这很黑暗,但就像你让孩子们……自残和宠物死亡。就像,有一些迹象表明出了问题。如果所有这些都发生在一个有电脑和手机的卧室里,那么……是的,
有证据。甚至不是这样。这些证据随后被收集、分类并放入“典故书”中,“典故书”本质上是合法的证据档案。它就像一份证据档案。我认为,在引言中,我们是这样描述它的。这是发生的犯罪的证据,但以一种奇怪的方式,受害者……
某些犯罪的作案者也是……更真实的受害者。是的,是的,是的,是的,是的,是的。是的。这给了它那种邪教的氛围。它非常……曼森的氛围。这是一个沉重的话题。所以我们现在要播放一些广告。然后我们将摆脱这种感觉。然后我们将讨论一些完全无关的事情。我几乎觉得我们应该调换一下节目的顺序。是的。但这是结束的故事,因为它太沉重了。是的。
现在我们将讨论这个问题。现在我们将讨论流行软件中的图书馆漏洞。这将更加轻松,更加有趣。因为我没有编辑能力来调换整个节目的顺序。所以我们将以巨大的低潮开始,可能吧。希望你还在。希望你还在。我们将在休息后再见。身份攻击。网络钓鱼。凭据填充。
会话劫持。帐户接管。
Push 改变了这一点。他们构建了一个轻量级的浏览器扩展程序,可以实时观察身份活动,让您可以了解身份如何在整个组织中使用,例如,当登录跳过多因素身份验证时,当密码被重复使用时,或者当有人无意中将凭据输入伪造的登录页面时。
然后,当检测到某些风险时,Push 可以直接在浏览器中实施保护措施。无需等待,无需工单。它不仅仅是关于预防。Push 还监控实时威胁,例如中间人攻击、被盗会话令牌,甚至像跨 IDP 模拟这样的新技术,攻击者通过为您的公司建立虚假的身份提供商来绕过单点登录和多因素身份验证。
思考它的方式,它有点像 EDR,但在您的浏览器中。背后的团队,他们都是进攻性安全专家。他们发布了一些最有趣的身份攻击研究,例如软件即服务攻击矩阵,它准确地分解了这些类型的威胁如何绕过所有这些传统控制措施。身份是新的端点,Push,我们的自豪赞助商 Push,就是这样对待它的。请访问 pushsecurity.com 查看详情。
ED 是一件真实的事情。如果它让你沮丧,你需要 HIMS 来帮助你的信心和其他事情恢复。HIMS 提供可以帮助你保持勃起和延长时间的治疗方法。因此,无论何时心情来临,你都可以做好准备。
Hymns 正在通过让您在家中舒适地获得负担得起的性健康治疗来改变男性的医疗保健。Hymns 提供一系列医生信赖的 ED 治疗方法,例如咀嚼片、伟哥和西地那非,以及它们的仿制药,价格低至 95%。整个过程都在网上进行。无需进行令人不舒服的医生问诊。
只需填写他们网站上的问诊表,医疗服务提供者将确定合适的治疗方案。如果开了处方,您的药物将免费直接邮寄给您。无需保险,一个低价涵盖从治疗到持续护理的所有费用。HIMSS拥有数十万名值得信赖的订阅者,可以帮助您找到适合您的 ED 方案。
立即开始您的免费在线问诊,网址为 HIMS.com/HACT。网址为 H-I-M-S.com/HACT,您可以获得个性化的 ED 治疗方案。HIMS.com/HACT。特色产品包括复合产品,这些产品未经 FDA 批准或验证其安全有效性或质量。需要处方。请访问网站了解详情、限制和重要的安全信息。价格根据产品和订阅计划而有所不同。
胡佛水坝并非一日建成。GMC Sierra 系列产品也不是一夜之间建成的。像每一个美国成就一样,Sierra 1500 重型和电动汽车的建造是奉献的结果。对掌握工程艺术的奉献。这就是这个国家 250 年来一直在做的事情。
也是 GMC 100 多年来一直在做的事情。我们是专业级的。访问 GMC.com 了解更多信息。在美国密歇根州弗林特和汉姆特罗尼克以及印第安纳州韦恩堡组装,使用美国和全球采购的零部件。作为承包商,我不为我不使用的材料付费。那么,为什么我要为移动计划中不需要的东西付费呢?这就是为什么 Verizon Business 的全新 MyBiz 计划如此完美的原因。现在我可以精确选择我想要的东西,并且只为我需要的东西付费。
现在,使用 MyBizPlan,即可获得我们最低 25 美元/线的最佳价格。立即访问 verizon.com/business 开始使用。每月价格为 5 条以上线路。包括自动付款和无纸化账单以及特价优惠折扣。税费、经济调整费和条款适用。优惠将于 2025 年 6 月 10 日结束。是的,我想谈论的是对软件库和软件包的供应链攻击,人们在开发其软件应用程序时会使用这些库和软件包。好的。是的。
这样说有道理吗?我认为是的。当人们开发软件时,他们会使用这些预先存在的软件包、这些第三方库,这是一种对该事物的供应链攻击。正确。带我了解一下。如果您使用 Python,使用 Python 的很大一部分原因是它拥有所有这些可以安装的软件包,Python 软件包索引和 pip 索引。
是一种允许您获取容器化以执行应用程序需要执行的特定操作的源代码块的方法。因此,您无需编写所有这些代码,只需获取这些软件包即可促进它。Node 也是如此。那里有一个包管理器,称为 Node Package Manager NPM,或者如果您使用更好的包管理器,则称为 PNPM。
但本质上,大量的开源源代码被包含在大量的生产系统中。大约 80% 的大多数当代开发的程序系统使用 80% 的代码来自他们包含的软件包。因此,它已成为目标。它已成为攻击媒介。因此,许多国家,尤其是朝鲜,一直在关注和破坏或
发布他们自己针对非常基本事物的软件包,他们知道许多用户都会想要这样做。而该代码包内包含恶意软件、远程访问木马、加密货币窃取程序、用户名凭据抓取程序,等等。好的,所以为了让我理解,当我们谈论时,恶意软件来自某人入侵了这些第三方软件包之一。
- 为了让我理解,目标是入侵正在使用它的开发人员,还是目标是将入侵传播到开发人员正在向公众发布的软件中?- 正确。第二个。- 后者。- 哦,更糟。这是最糟糕的一个。我按严重程度递增的顺序排列了它们。- 你可以两种方式都做,但通常是后者。更大的影响是后者。
所以这件事又发生了,这就是让我注意到这件事的原因。实际上,就在这个月,一个名为 RAND user agent 的软件包被入侵,其中包含一个远程访问木马。所以,一个完整的木马程序可以远程访问人们的电脑,它被嵌入到该软件包的特定版本中。好的。为了让我理解,像 RAND user agent 这样的东西,从广义上讲,是什么?
因此,当您向 Web 服务器发出 Web 请求时,它会带有用户代理。本质上,我认为这个软件包允许应用程序生成随机用户代理密钥。例如,当您提交请求或 Web 服务器检索请求时,它还会将其标记为用户代理令牌是什么。通常情况下,就像 Chrome、Mac 一样,您以前肯定见过它们。好的。
这是一个促进执行此操作的软件包。我认为该软件包已被弃用,因此构建它的主要开发人员已经放弃了它。它没有维护它,有人抓住了它的维护权,然后立即在其中塞入了一个木马程序,一个远程访问木马程序。
当然。我正在向您发送一个 XKCD 漫画,这让我联想到了它,这只是一个插图,它是一座乐高积木形状的东西的山。
上面写着,所有现代数字基础设施。然后整个东西都被一个狭窄、细小的砖块支撑着,上面写着,内布拉斯加州某个随机人在 2003 年以来一直默默地维护着一个项目。我在这里想起了这一点。这就是现代软件开发。开源软件开发和软件包开发以及库开发就是这样。它是由无数的人不知疲倦地构建一个特定的库,允许特定的东西,然后……
你会得到 GitHub 星星。这就是社交媒体的影响力。这也意味着我每周要花 60 个小时免费维护这个东西,以便所有这些公司都能利用它来获利。
哦,我有很多问题。尽管问吧。但这就像,哦,伙计,我真的很犹豫要不要把它和第一个故事联系起来,但这就像对对名望渴望的积极运用。以积极的方式,就像名望甚至感觉并不能捕捉到它。就像你真的想做出贡献,像对世界做出积极的贡献并帮助人们创造事物一样。是的。好的。所以这些第三方软件包,对吧?
现代技术的这种支架正在成为进入人们系统并传播到世界各地的新攻击媒介。什么,如果不重新思考软件开发的方式,这似乎非常依赖于这些东西。非常。你怎么,就像,答案是什么?就像,只是要非常非常小心你所有的依赖项吗?这个问题有答案吗?还是更像是一个警告?
我认为,如果您是一家大型商业企业,生产商业产品,您可能会固定某些版本的它。也许您获得了这个软件包或可能是一堆软件包,并且您正在使用特定版本,例如 2.1.8 或其他版本。
您已经对其进行了代码审查以确保。理想情况下,您已经进行了代码审查以确保其中没有嵌入远程访问木马。然后从那时起,您将持续维护您自己的该软件包的分支。因此,分支是一个术语,表示您在该点获取源代码,并自行承担所有权。因此,现在它已集成到您的系统中,
您将成为维护该软件包源代码的人。哦,我明白了。您以一种奇怪的方式承担了部分依赖关系的责任。因为另一件事是,如果您的系统依赖于
某个软件包,而软件包维护人员决定更改其整个编程接口,而您只是在您的构建脚本中自动更新它,它可能会破坏您的系统。好的代码,好的 CICD。
良好的维护和安全协议可能是对来自该库的代码库进行快照,对其进行审查,然后自行持续维护它。但是,这比让内布拉斯加州的那个人辛辛苦苦地维护它要多得多。
继续支持那块乐高积木。你的问题很有趣,因为它就像这种类型的攻击中最著名的攻击之一实际上发生了。这是 2018 年最早的攻击之一。当时有一个广泛使用的名为 EventStream 的节点软件包,每周下载量约为 200 万次。这向您展示了正在使用的开发活动的规模。主要维护人员和开发人员对此感到厌倦,只想退出。
所以他们说,你知道吗,我要弃用它,如果其他人想承担它的所有权和发布权,并想承担开发和维护这个库的责任,我会把它交给他们。他们将其转移给一个名为 Right9Control 的用户,他就像,你知道吗,我来吧。他们做的第一件事就是在其中嵌入了一个加密货币挖掘程序,就像一个加密货币挖掘程序。
就像一个加密货币窃取程序,就像一个木马程序,或者像恶意软件一样。当然。这一切都只是为了获得一种加密货币。是为了将加密货币挖掘程序植入其他人的系统,还是为了入侵加密货币钱包?入侵加密货币钱包。然后是这件事。这很糟糕,但也很吸引人。2018 年,……
他是选择性的。他只想要,或者我应该说,他们只想要那些拥有超过 100 个比特币的钱包。是的,好的,大鱼。但是 2018 年,所以我不知道当时的价值是多少。我们称之为 20,000。这仍然是一大笔钱。而今天,100 个比特币大约价值 1000 万美元。对吗?天哪,100 个比特币?不。哦,也许吧。是的。100 个比特币的价值。我认为是 10 万美元。
是的。是的。14 万美元。或者我猜是加元,是的。是的,是的。10 万美元。所以是的,这是一个……天哪。无论如何,所以……是的,这是第一件事。它就像该库的下一个迭代版本,其中包含这种加密货币窃取恶意软件。它只会……安装它的任何计算机都会扫描加密货币钱包,确定它是否拥有超过 100 个比特币,窃取钱包的密钥,并将其发送回原处。嗯。嗯。
我们之前在这个节目中讨论过不同的 AI 开发环境。我知道你和我刚刚谈了很多关于 Cursor 的事情。但 Cursor 也出现过这种情况。有一个常用的 Cursor 软件包
我认为它被视为这些入侵途径之一。如果我没记错的话,我认为这是为了窃取 API 凭据。我得查一下。它没有那么大,影响也没有那么大。我认为有史以来最大的一次发生在 2021 年。UA parser JS,就像一个 JavaScript 解析器。
解析来自服务器的用户代理字符串,同样的风格。因此,来自服务器的用户代理,这是一个自动程序,它会抓取字符串并将其解析成其组件。因此,您可以判断它是否是 OSX,或者它的操作系统是什么,代理是什么,代理的版本是什么。
他们从 2021 年开始看到其受污染的版本。其中一些实际上甚至包含一个 .exe 文件,这是一个实际的加密货币挖掘程序,它会在安装该软件包的人的计算机上运行。
所以,再次是加密货币的核心。再次,我想到了内布拉斯加州的那个人,维护人员是人。人们会筋疲力尽。长期维护项目的人会感到压力。你不知道人们生活中发生了什么。一个不知疲倦地捍卫和维护某物的人,可能会像其他人一样成为社会工程的目标。
当这么多人依赖这些项目时,很容易认为,好吧,这是众人的智慧。我相信有人在关注这个。这并不一定是一个合理的结论。好吧,它是社区的一个非常重要的组成部分,就像开发社区一样。有很多影响力。一些语言、平台和框架的价值取决于它们免费工具的可访问性。例如,如果您考虑 Python,对吧?
Python 已经成为机器学习 AI 的宠儿。因为它只是一套惊人的库,可以免费提供给该领域的使用者。因此,它变得更容易。如果您想象一下必须从头开始重写 PyTorch 和 PyChance 才能利用这些东西,那将需要永远的时间。因此,为了促进社区的增长和创新,
许多这些软件包都做到了这一点。您可以非常快速地构建应用程序,因为如果您将应用程序视为食谱,如果您必须制作鸡蛋……是的,如果您每次想做面包都必须磨面粉,那么这个过程就会复杂得多,但楼下有一些。没错。所以这就是问题所在。许多这些软件包都存在。而您现在看到的是,因为它是一种压力,我永远不会……
我很想成为一名贡献者,实际上也可能成为开源软件包的贡献者,因为我正在构建的开源应用程序,旧金山的一些人已经发布了它。所以,为什么我要,为什么我要急于去做呢?但无论如何,你现在看到的是像 Meta、微软这样的主要公司,就像 Visual Studio Code 是微软维护的产品一样。
用于节点和 Web 开发的 React 框架是 Meta 维护的框架。就像现在许多这些大型企业实际上是发布和维护许多大型软件包的人一样。这很好。是的,我的意思是,有一些话要说……
一个人可能会筋疲力尽,可能会犯错,但希望,我的意思是,什么大型组织可能会在黑客攻击中受到损害?这种情况从未发生过。谈论规模和规模,例如 UAParserJS,当它被入侵、注入恶意软件和加密货币挖掘程序时……
它每周的下载量为 700 万次。所以大约有 700 万开发人员下载了该软件包。实际上,我提到的最近的一个,另一个用户代理,他们实际上没有发布它的名称。它被发现是因为它是 RAND 用户代理,因为它存在于许多生产系统中,他们希望给开发人员时间来删除远程访问木马
在任何人真正发现它是什么之前。好的,我们在这里学到了什么?开源很酷、有用,而且是一种我们互相赠送的礼物,但它也存在潜在的漏洞。是的。似乎许多大型攻击都是国家行为,例如朝鲜的。
可以这么说,网络犯罪部门非常擅长使用这种类型的攻击。就像我们之前在节目中讨论过的那样,因为它只是,它一次打开了大量的大门。你知道,你把一段恶意软件放在一个地方,然后其他人就会为你分发它。突然之间,你到处都有恶意软件。
是的,当然。你不会相信谁用我们放在所有货架上的这种面粉来烤饼干的。你会震惊于谁不在。是的,对。不,这很精明。它就像堆叠的,我试图思考一下这个词。
它就像一个传递依赖项,你把它放进一个东西里,然后放进另一个东西里,然后放进另一个东西里。你就像,我甚至不知道这将最终会到哪里。现在,这个软件包中的这个漏洞位于另一个东西中。它位于另一个东西中,而另一个东西位于白宫内。完全正确。是的。有趣这个词用错了,但如果你是那种人,可能会有一些很酷的事情,就像,你不会相信它今天出现在哪里。如果你为了娱乐活动,如果你是一个像这样的人,
做了这件事,让它像它的回调一样,当它打电话回家告诉你它在哪里时,绘制地图并观看像它传播一样的 3D 连接状态图。传播到世界各地。这将是令人着迷的景象。但是不,我认为这将是一个 AI 将在两种方式上都取得真正成功的地方,因为我认为
编写代码并开发东西的人越来越多,而他们实际上并不知道自己在做什么,这将增加攻击媒介。但我认为你会看到平台、生产环境和 IDE 在 AI 代码审查方面变得非常严格,寻找潜在的漏洞,寻找
GitHub 在某个时候会自动识别你的东西中是否存在任何可疑代码。我想他们可能已经在构建它了。我们在 DEF CON 上看到了那些东西,那里有一个大型的多组织挑战正在进行中,让 AI 查找代码中的漏洞,然后对其进行修补。我认为你会看到其中一些相同的实现应用于一些代码存储库、代码提交、CICD。
管道,诸如此类。我想知道这将如何影响人们。我们可能讲述过的最黑暗的故事,以及最像,只是让你知道,这些依赖代码包正在发生一件令人着迷的事情。就像,通常我们喜欢在技术和人之间找到一个很好的中间地带,但是今天,
那里只是一个鸿沟吗?我不知道。对我来说,代码方面是……我喜欢它。第一个故事,764,相当黑暗。学习了很多我不在乎知道的术语。血腥屠夫。血腥屠夫。代码依赖性,供应链攻击?
对我来说很有趣。我同意。这是你使用的工具。这些是用于创建现代工具的工具。就像,如果锤子实际上是邪恶的呢?就像,好吧,这很有趣。是的,没错。而且,你也谈到了这一点,你提到了这一点,就像项目维护人员的倦怠一样。完全正确。这是一项非常感谢的工作。而且你花费……
就像模因交易一样。你每年给我 1500 个小时的免费工作。我给你在 GitHub 问题中发愤怒的评论。就像,就是这样。有人抱怨代码在特定方面是如何损坏的。就像,这是你对它的回报。还有一些星星,一些赞。对我来说,这就是问题所在。就像,当这些维护人员筋疲力尽时,
当他们从这些维护人员那里过渡并把项目的钥匙交给其他人来承担将石头推上山的无情角色时。这些人可能是朝鲜的网络犯罪部门。特别是如果它是一个足够大的软件包,存在于很多东西中。它就像一个本地软件包,如果它足够大……
可以将恶意软件和远程访问木马推送到数百万台 PC 上。就像,这是一个非常有趣的供应链攻击,可能会产生如此大的输出。我可以理解为什么像朝鲜这样的国家会优先考虑它。这是一个愚蠢的结束说明。
我喜欢科幻小说。科幻小说中有一个比喻,就像想象中的科幻世界,他们仍然拥有未来技术,但他们领先得太远了,以至于他们忘记了它是如何创造出来的。就像战锤 40K 一样。在那个像传说一样的宇宙中,这是一件大事,就像,我们有这些无畏舰。你为什么没有新的?因为我们很久以前就忘记了如何制造它们,因为我们太忙于互相残杀了。
想象一下一个世界,那里有所有这些软件依赖项,这些依赖项是由过去某个时候的人开发的,然后被传递下去,传递下去,传递下去。而使用它们的人可能并不完全知道它们里面有什么以及它们是如何工作的,因为他们在这个阶段学习了如何在现代时代开发软件。就像想象一个我们用自己不太了解的零件建造东西的世界一样。哦,是的。好吧,就像……
而且其中一些软件包非常小。最常见的节点软件包中的一些是基本函数,它们根本不存在于基本语言中。所以有人编写了一个执行某些操作的函数,检查数组是否具有某些特定约束,而该软件包被使用了 1300 万次,因为人们不想重写执行此操作的一个函数,他们只是包含该软件包,因为它就像其他人已经做到了。如果那些……
诸如此类。朝鲜正在构建的一些软件包就是这样。如果您有点,我不想说太懒了,但您不想重写已经为您完成的工作,那么这些东西很容易使用。您不想自己磨面粉。想要使用这些预先存在的工具是非常自然和合理的。如果您是那种国家行为者,那么去攻击它们就非常明显了。完全正确。是的。
我们可以谈谈氛围编码以及它将如何影响这一点,但这没有意义。我认为每个人都多少有点了解。是的,我们都明白了。好吧,各位,我希望你们喜欢这次关于代码依赖性、供应链攻击和互联网死亡邪教的谈话。我们玩得很开心。我要去沙发上躺 40 分钟。去盯着墙看。一如既往,这是一次愉快的谈话。感谢大家的收听,我们将在下一期节目中与大家见面。保重。
再见。