Oppmerksomhet til alle som bytter jobb etter året, Nylig så jeg noen innlegg på Threads, Noen intervjuet klone et repo eksternt uten å gjøre det manuelt Bruk IDE-en (VS-kode / markør ..) for å se kildekoden Den private nøkkelen i datamaskinen ble lekket. -- For å legge til prinsippet om angrep, misforstod mange faktisk. Dagens IDE-er (VS Code, Cursor, WebStorm) har lenge vært mer enn bare verktøy for å «lese kode». Så snart du åpner repoet, vil IDE-en automatisk bruke Node.js for å laste konfigurasjonsfilene i prosjektet for å hjelpe deg med ESLint, Prettier, TypeScript-typeanalyse og rammeverksdeteksjon (Next.js / Vite / React). For eksempel, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, disse ser ut som konfigurasjonsfiler, og de er i bunn og grunn alle "kjørbar JavaScript". Angripere skjuler ondsinnet kode i disse profilene. Du har ikke npm run, du har ikke node index.js, Men IDE-en har allerede gjort det for deg først. Når det er kjørt, kan du gjøre mange ting under «brukertillatelser», som å lese den private nøkkelen, SSH-nøkkelen og konfigurasjonsfilen på datamaskinen, og deretter sende dataene ut, og hele prosessen vil ikke hoppe over noen vinduer eller la deg merke det. Derfor oppstår denne bisarre situasjonen: Jeg er bare klone-repo Jeg åpner bare IDE-en og ser på kildekoden Men den private nøkkelen i datamaskinen er borte Det er ikke det at du er glatt, eller at du ikke er klar over informasjonssikkerhet. I stedet kjører den moderne front-end verktøykjeden selv «automatisk prosjektkode». --...