1年を過ぎて転職する皆さん、 最近、いくつかのスレッド投稿を見かけました。 誰かがリモートでリポをクローンしたのですが、手動でクローンせずに行いました IDE(VS code / カーソル)を使ってソースコードを確認してください コンピュータの秘密鍵が漏洩しました。 -- 攻撃の原則についても、多くの人が誤解していました。 今日のIDE(VS Code、Cursor、WebStorm)は、単なる「コードを読む」ためのツール以上の存在でした。 リポジトリを開くとすぐに、IDEは自動的にNode.jsを使ってプロジェクト内の設定ファイルを読み込み、ESLint、Prettier、TypeScript型解析、フレームワーク検出(Next.js / Vite / React)をサポートします。 例えば、eslint.config.js、prettier.config.js、next.config.js、vite.config.js、これらは設定ファイルのように見え、基本的にはすべて「実行可能なJavaScript」です。 攻撃者はこれらのプロファイルに悪意のあるコードを隠しています。 npmを実行させず、ノードindex.jsも使いません。 しかし、IDEはすでにそれを代わりに行ってくれています。 一度実行されると、「ユーザー権限」の下で秘密鍵、SSHキー、設定ファイルをコンピュータ内で読み取り、データを送信するなど多くのことができます。このプロセス全体でウィンドウが飛び越えたり、気づかれたりすることはありません。 だからこそ、この奇妙に聞こえる状況が起こるのです: 私はただのクローンリポジトリです 私はただIDEを開いてソースコードを見るだけです しかし、コンピュータ内の秘密鍵は消えています あなたが滑りにくいとか、情報セキュリティに気づいていないわけでもありません。 代わりに、現代のフロントエンドツールチェーン自体が「自動的にプロジェクトコードを実行」します。 --...