Yıl sonra iş değiştiren herkese dikkat, Son zamanlarda birkaç Threads gönderisi gördüm, Mülakata katılan biri, bir depoyu manuel yapmadan uzaktan klonlayacak Kaynak kodunu görüntülemek için IDE (VS kodu / İmleç ..) kullanın Bilgisayardaki özel anahtar sızdırıldı. -- Saldırı ilkesini eklemek gerekirse, birçok insan aslında yanlış anladı. Bugünün IDE'leri (VS Code, Cursor, WebStorm) uzun zamandır sadece "kod okuma" araçları olmaktan fazlasıdır. Depoyu açtığınız anda, IDE otomatik olarak projedeki yapılandırma dosyalarını Node.js kullanarak ESLint, Prettier, TypeScript tür analizi ve framework tespiti (Next.js / Vite / React) konusunda size yardımcı olur. Örneğin, eslint.config.js, prettier.config.js, next.config.js, vite.config.js bunlar yapılandırma dosyalarına benziyor ve temelde hepsi "çalıştırılabilir JavaScript". Saldırganlar bu profillerde kötü amaçlı kodları saklar. NPM çalıştırmanız, node index.js'iniz yok, Ama IDE zaten önce senin için yaptı. Bir kez çalıştırıldıktan sonra, bilgisayarda özel anahtarı, SSH anahtarını ve yapılandırma dosyasını okumak gibi "kullanıcı izni" altında birçok şey yapabilirsiniz, ardından verileri gönderebilirsiniz ve tüm süreç hiçbir pencereden geçmez veya fark etmez. İşte bu garip görünen durum bu yüzden yaşanıyor: Ben sadece klon deposuyum Sadece IDE'yi açıp kaynak koduna bakıyorum Ama bilgisayardaki özel anahtar kaybolmuş Sorun yavaş olduğundan ya da bilgi güvenliğinden haberdar olmadığın anlamına gelmez. Bunun yerine, modern ön uç araç zinciri kendisi "proje kodunu otomatik olarak çalıştırır". --...