forna
Customer
- Регистрация
- 26 Авг 2024
- Сообщения
- 14
- Тема Автор
- #1
(ENGLISH)
Hello everyone,
I'm creating this thread to share something important for the entire community, especially for new users who download Lua scripts.
The Nixware Lua API is incredibly powerful. It gives script developers access to low-level functions like os.execute and ffi. While this allows for amazing and complex scripts, it also creates a significant security risk if you run code from an untrusted source.
To demonstrate what this means in practice, I've created an "Ethical Security Demonstration Script".
What this script does:
You can see screenshots of the script in action attached to this post.
What are the REAL risks?
If a script can do this, a malicious one could easily:
The goal of this post is not to cause panic, but to educate. The power of the API is a feature, but it requires you to be responsible.
Stay safe everyone.
(РУССКИЙ)
Всем привет,
Я создаю эту тему, чтобы поделиться кое-чем важным со всем сообществом, особенно с новыми пользователями, которые скачивают Lua-скрипты.
API Lua в Nixware невероятно мощное. Оно дает разработчикам скриптов доступ к низкоуровневым функциям, таким как os.execute и ffi. Хотя это позволяет создавать удивительные и сложные скрипты, это также создает значительный риск безопасности, если вы запускаете код из непроверенного источника.
Чтобы наглядно продемонстрировать, что это значит, я создал «Этичный демонстрационный скрипт безопасности».
Что делает этот скрипт:
Вы можете увидеть скриншоты работы скрипта в прикрепленных к этому посту файлах.
Каковы РЕАЛЬНЫЕ риски?
Если скрипт может делать это, то вредоносный скрипт может легко:
Цель этого поста — не вызвать панику, а просветить. Мощь API — это его особенность, но она требует от вас ответственности.
Берегите себя.
Hello everyone,
I'm creating this thread to share something important for the entire community, especially for new users who download Lua scripts.
The Nixware Lua API is incredibly powerful. It gives script developers access to low-level functions like os.execute and ffi. While this allows for amazing and complex scripts, it also creates a significant security risk if you run code from an untrusted source.
To demonstrate what this means in practice, I've created an "Ethical Security Demonstration Script".
What this script does:
- It will first display a bilingual warning message explaining the risks.
- After you click "OK", it will create a text file directly on your Windows Desktop named A_MESSAGE_FOR_[YourUsername].txt.
- It will then automatically open this file for you.
You can see screenshots of the script in action attached to this post.
What are the REAL risks?
If a script can do this, a malicious one could easily:
- Steal your browser passwords, crypto wallets, and session tokens for Discord, Steam, etc.
- Scan your personal files and upload them to a remote server.
- Install a keylogger to record everything you type.
- Encrypt your files and demand a ransom (Ransomware).
The goal of this post is not to cause panic, but to educate. The power of the API is a feature, but it requires you to be responsible.
- NEVER run scripts from sources you don't 100% trust.
- Be EXTREMELY cautious with any script that has its code hidden or "obfuscated". Ask yourself: why are they hiding it?
Stay safe everyone.
(РУССКИЙ)
Всем привет,
Я создаю эту тему, чтобы поделиться кое-чем важным со всем сообществом, особенно с новыми пользователями, которые скачивают Lua-скрипты.
API Lua в Nixware невероятно мощное. Оно дает разработчикам скриптов доступ к низкоуровневым функциям, таким как os.execute и ffi. Хотя это позволяет создавать удивительные и сложные скрипты, это также создает значительный риск безопасности, если вы запускаете код из непроверенного источника.
Чтобы наглядно продемонстрировать, что это значит, я создал «Этичный демонстрационный скрипт безопасности».
Что делает этот скрипт:
- Сначала он покажет двуязычное предупреждающее сообщение, объясняющее риски.
- После того как вы нажмете «ОК», он создаст текстовый файл прямо на вашем рабочем столе Windows с именем A_MESSAGE_FOR_[ВашеИмяПользователя].txt.
- Затем он автоматически откроет этот файл для вас.
Вы можете увидеть скриншоты работы скрипта в прикрепленных к этому посту файлах.
Каковы РЕАЛЬНЫЕ риски?
Если скрипт может делать это, то вредоносный скрипт может легко:
- Украсть ваши пароли от браузеров, криптокошельки и токены сессий для Discord, Steam и т.д.
- Просканировать ваши личные файлы и загрузить их на удаленный сервер.
- Установить кейлоггер, чтобы записывать все, что вы печатаете.
- Зашифровать ваши файлы и потребовать выкуп (программы-вымогатели).
Цель этого поста — не вызвать панику, а просветить. Мощь API — это его особенность, но она требует от вас ответственности.
- НИКОГДА не запускайте скрипты из источников, которым вы не доверяете на 100%.
- Будьте КРАЙНЕ осторожны с любыми скриптами, код которых скрыт или «обфусцирован». Спросите себя: почему они его прячут?
Берегите себя.