Huomio kaikille, jotka vaihtavat työpaikkaa vuoden jälkeen, Äskettäin näin muutamia Threads-postauksia, Haastateltu henkilö kloonaa reposition etänä ilman, että se tehdään manuaalisesti Käytä IDE:tä (VS koodi / Kursori ..) nähdäksesi lähdekoodin Tietokoneen yksityisavain vuoti. -- Lisäksi hyökkäyksen periaatteeseen moni ymmärsi väärin. Nykyiset IDE:t (VS Code, Cursor, WebStorm) ovat pitkään olleet enemmän kuin pelkkiä työkaluja "koodin lukemiseen". Heti kun avaat repon, IDE käyttää automaattisesti Node.js:ää ladatakseen projektin konfiguraatiotiedostot auttaakseen ESLintissä, Prettierissä, TypeScript-tyyppianalyysissä ja frameworkin tunnistuksessa (Next.js / Vite / React). Esimerkiksi eslint.config.js, prettier.config.js, next.config.js vite.config.js näyttävät konfiguraatiotiedostoilta, ja ne ovat käytännössä kaikki "suoritettavia JavaScriptiä". Hyökkääjät piilottavat haitallista koodia näihin profiileihin. Sinulla ei ole NPM-juoksua, sinulla ei ole node index.js, Mutta IDE on jo hoitanut sen puolestasi ensin. Kun käyttöoikeus on suoritettu, voit tehdä monia asioita "käyttäjäoikeuksien" alla, kuten lukea yksityisen avaimen, SSH-avaimen ja konfiguraatiotiedoston tietokoneella, ja lähettää tiedot ulos, eikä koko prosessi hyppää ikkunaan tai anna sinun huomata. Siksi tämä oudolta kuulostava tilanne tapahtuu: Olen vain kloonipalautus Avaan vain IDE:n ja katson lähdekoodia Mutta tietokoneen yksityinen avain on kadonnut Kyse ei ole siitä, että olisit liukas tai ettet olisi tietoinen tietoturvasta. Sen sijaan nykyaikainen käyttöliittymätyökaluketju itse "suorittaa projektikoodin automaattisesti". --...