Let op iedereen die van baan wil veranderen na een jaar, Onlangs zag ik een paar berichten op Threads, waarbij iemand tijdens een remote interview een repo heeft gekloond zonder het handmatig uit te voeren met een IDE (VS code / Cursor ..) om de broncode te bekijken. De privésleutels op de computer zijn zo gelekt. -- Ter aanvulling van de aanvalsmethode, veel mensen begrijpen het eigenlijk verkeerd. De huidige IDE's (VS Code, Cursor, WebStorm) zijn al lang niet meer alleen tools om "code te bekijken". Zodra je een repo opent, laadt de IDE automatisch de configuratiebestanden van het project met Node.js om je te helpen met ESLint, Prettier, TypeScript type-analyse, en frameworkdetectie (Next.js / Vite / React). Bestanden zoals eslint.config.js, prettier.config.js, next.config.js, vite.config.js, die eruitzien als configuratiebestanden, zijn in wezen allemaal "uitvoerbare JavaScript". Aanvallers verstoppen kwaadaardige code in deze configuratiebestanden. Je voert geen npm run uit, je hebt geen node index.js, maar de IDE heeft het al voor je uitgevoerd. Zodra het wordt uitgevoerd, kan het veel dingen doen onder "gebruikersrechten", zoals het lezen van privésleutels, SSH-sleutels, configuratiebestanden, en de gegevens naar buiten sturen, het hele proces zal geen vensters openen en je niet laten merken. Daarom komt deze vreemde situatie voor: Ik heb alleen de repo gekloond Ik heb alleen de IDE geopend om de broncode te bekijken maar de privésleutels op de computer zijn verdwenen. Dit is niet omdat je een fout hebt gemaakt, en het is ook niet omdat je geen bewustzijn van cybersecurity hebt, maar omdat de moderne frontend-toolchain zelf "automatisch projectcode uitvoert". --...