انتباه لكل من يغير وظيفته بعد السنة، مؤخرا، رأيت بعض منشورات Threads, شخص أجرى مقابلة قام باستنساخ مستودع عن بعد دون القيام بذلك يدويا استخدم بيئة التطوير (VS code / Cursor ..) لعرض الشيفرة المصدرية تم تسريب المفتاح الخاص في الحاسوب. -- لإضافة مبدأ الهجوم، كثير من الناس أساء الفهم. لطالما كانت برامج تطوير البيئة (VS Code، Cursor، WebStorm) أكثر من مجرد أدوات ل "قراءة الكود". بمجرد فتح المستودع، سيستخدم بيئة التطوير تلقائيا Node.js لتحميل ملفات التكوين في المشروع لمساعدتك في ESLint وPrettier وتحليل أنواع TypeScript واكتشاف إطار العمل (Next.js / Vite / React). على سبيل المثال، eslint.config.js، prettier.config.js، next.config.js، vite.config.js، تبدو كملفات تكوين، وهي في الأساس "JavaScript قابلة للتنفيذ". المهاجمون يخفون شيفرة خبيثة في هذه الملفات الشخصية. ليس لديك npm run، ولا index.js عقدة، لكن بيئة التطوير قد قامت بذلك لك أولا. بمجرد التنفيذ، يمكنك القيام بالعديد من الأمور تحت "صلاحيات المستخدم"، مثل قراءة المفتاح الخاص ومفتاح SSH وملف التكوين في الكمبيوتر، ثم إرسال البيانات، ولن تتجاوز العملية أي نافذة أو تلاحظك. لهذا السبب يحدث هذا الوضع الغريب: أنا مجرد مستودع نسخ أنا فقط أفتح بيئة التطوير وأنظر إلى الشيفرة المصدرية لكن المفتاح الخاص في الكمبيوتر اختفى ليس لأنك مراوغ، أو لأنك غير مدرك لأمن المعلومات. بدلا من ذلك، فإن سلسلة أدوات الواجهة الأمامية الحديثة نفسها "تنفذ كود المشروع تلقائيا". --...