Atenção a todos que estão pensando em mudar de emprego após alguns anos, recentemente vi algumas postagens no Threads, há pessoas que, em entrevistas remotas, clonaram um repositório sem executar manualmente usando IDE (VS Code / Cursor ..) para verificar o código-fonte as chaves privadas no computador acabaram vazando. -- Para complementar, a lógica do ataque, muitos na verdade se enganaram. Os IDEs atuais (VS Code, Cursor, WebStorm) não são mais apenas ferramentas para "ver código". Quando você abre um repositório, o IDE, para ajudá-lo com ESLint, Prettier, análise de tipos do TypeScript, detecção de frameworks (Next.js / Vite / React), carrega automaticamente os arquivos de configuração do projeto usando Node.js. Arquivos como eslint.config.js, prettier.config.js, next.config.js, vite.config.js, que parecem ser arquivos de configuração, na verdade são todos "JavaScript executável". Os atacantes escondem códigos maliciosos nesses arquivos de configuração. Você não precisa executar npm run, nem node index.js, mas o IDE já executou isso para você. Uma vez executado, pode fazer muitas coisas sob "permissões do usuário", como ler chaves privadas, chaves SSH, arquivos de configuração, e enviar dados para fora, todo o processo não gera nenhuma janela pop-up e você não percebe. Por isso, surgem essas situações que parecem estranhas: eu apenas clonei o repositório eu apenas abri o IDE para ver o código-fonte a chave privada do computador desapareceu. Isso não é um deslize seu, nem falta de consciência de segurança, esse é o comportamento normal das ferramentas modernas de front-end que "executam automaticamente o código do projeto". --...