Uwaga wszyscy, którzy planują zmianę pracy po roku, ostatnio widziałem kilka postów na Threads, gdzie ktoś przeprowadził zdalną rozmowę kwalifikacyjną, klonując repozytorium, ale nie uruchomił go ręcznie w IDE (VS Code / Cursor ..) aby sprawdzić kod źródłowy, a klucz prywatny w komputerze został ujawniony. -- Dodatkowo wyjaśnię zasadę ataku, wiele osób w rzeczywistości się myli. Obecne IDE (VS Code, Cursor, WebStorm) już dawno przestały być tylko narzędziami do „oglądania kodu”. Gdy otwierasz repozytorium, IDE, aby pomóc ci w ESLint, Prettier, analizie typów TypeScript, wykrywaniu frameworków (Next.js / Vite / React), automatycznie ładuje pliki konfiguracyjne projektu za pomocą Node.js. Takie pliki jak eslint.config.js, prettier.config.js, next.config.js, vite.config.js, które wyglądają jak pliki konfiguracyjne, w rzeczywistości są „wykonywalnym JavaScript”. Napastnik ukrywa złośliwy kod w tych plikach konfiguracyjnych. Nie musisz uruchamiać npm run, nie musisz uruchamiać node index.js, ale IDE już to dla ciebie wykonało. Gdy zostanie to uruchomione, można zrobić wiele rzeczy „w ramach uprawnień użytkownika”, na przykład odczytać klucz prywatny, klucz SSH, pliki konfiguracyjne, a następnie wysłać dane na zewnątrz, cały proces nie wyświetli żadnych okienek i nie pozwoli ci się zorientować. Dlatego pojawia się taka dziwna sytuacja: Tylko klonowałem repozytorium Tylko otworzyłem IDE, aby zobaczyć kod źródłowy Ale klucz prywatny w komputerze zniknął. To nie jest twoja wina, ani brak świadomości bezpieczeństwa, ale nowoczesne narzędzia frontendowe same „automatycznie wykonują kod projektu”. --...