Atenție tuturor celor care își schimbă locul de muncă după un an, Recent, am văzut câteva postări pe Threads, Cineva intervievat a clonat de la distanță un repository fără să o facă manual Folosește IDE-ul (VS code / Cursor ..) pentru a vizualiza codul sursă Cheia privată din calculator a fost scursă. -- Ca să adaug principiul atacului, mulți oameni chiar au înțeles greșit. IDE-urile de astăzi (VS Code, Cursor, WebStorm) au fost mult timp mai mult decât simple instrumente pentru "citirea codului". De îndată ce deschizi depozitul, IDE-ul va folosi automat Node.js pentru a încărca fișierele de configurare din proiect, pentru a te ajuta cu ESLint, Prettier, analiza tipurilor TypeScript și detectarea cadrului (Next.js / Vite / React). De exemplu, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, acestea par fișiere de configurare și sunt practic toate "JavaScript executabil". Atacatorii ascund cod malițios în aceste profiluri. Nu ai NPM în funcțiune, nu ai index.js nodului, Dar IDE-ul deja a făcut-o pentru tine mai întâi. Odată executat, poți face multe lucruri sub "permisiuni de utilizator", cum ar fi să citești cheia privată, cheia SSH și fișierul de configurare în calculator, apoi să trimiți datele, iar întregul proces nu va sări peste nicio fereastră și nu te va lăsa să observi. De aceea apare această situație care sună bizar: Sunt doar un depozit clonă Pur și simplu deschid IDE-ul și mă uit la codul sursă Dar cheia privată din calculator a dispărut Nu este vorba că ești alunecos sau că nu ești conștient de securitatea informațiilor. În schimb, lanțul modern de unelte front-end "execută automat codul proiectului". --...