Исследователь по безопасности Габриэль Фридлендер предупреждает, что веб-страница может скрытно заменять содержимое того, что находится в вашем буфере обмена, и то, что на самом деле будет скопировано в ваш буфер обмена, может сильно отличаться от того, что вы намеревались скопировать.
Хуже того, без должной осмотрительности разработчик может осознать свою ошибку только после вставки текста, и тогда может быть уже слишком поздно.😓
Магия заключается в коде jаvascript, скрытом за настройкой страницы PoC HTML. Как только вы копируете текст содержащийся в элементе HTML, запускается фрагмент кода, который подменяет буфера обмена вредоносными командами.
«Эта атака очень проста, но также очень вредна» — констатирует Фридлендер
Пользователи Reddit также представили альтернативный пример этого трюка, который даже не требует jаvascript: невидимый текст, созданный с использованием стилей HTML и CSS, который копируется в буфер обмена при копировании видимых частей текста.
☝🏻Еще одна причина никогда слепо не доверять тому, что вы копируете с веб-страницы - лучше сначала вставьте это в текстовый редактор.