Các bạn đang chuyển việc sau một năm chú ý nhé, Gần đây thấy một vài bài viết trên Threads, Có người phỏng vấn từ xa đã clone một repo mà không thực hiện thủ công Sử dụng IDE (VS code / Cursor ..) để xem mã nguồn Khóa riêng trong máy tính đã bị lộ ra ngoài. -- Bổ sung một chút về nguyên lý tấn công, nhiều người thực sự đã hiểu sai. Hiện nay, các IDE (VS Code, Cursor, WebStorm) không chỉ đơn thuần là công cụ để "xem mã nguồn". Khi bạn mở repo, IDE để giúp bạn thực hiện ESLint, Prettier, phân tích kiểu TypeScript, phát hiện framework (Next.js / Vite / React), sẽ tự động sử dụng Node.js để tải các tệp cấu hình trong dự án. Như eslint.config.js, prettier.config.js, next.config.js, vite.config.js, những cái này nhìn có vẻ là tệp cấu hình, nhưng bản chất đều là "JavaScript có thể thực thi". Kẻ tấn công đã giấu mã độc trong những tệp cấu hình này. Bạn không chạy npm run, không chạy node index.js, Nhưng IDE đã tự động thực thi cho bạn. Một khi được thực thi, nó có thể làm nhiều việc dưới "quyền người dùng", chẳng hạn như đọc khóa riêng trong máy tính, khóa SSH, tệp cấu hình, và gửi dữ liệu ra ngoài, toàn bộ quá trình sẽ không hiển thị bất kỳ cửa sổ nào, cũng không khiến bạn nhận ra. Vì vậy mới xuất hiện tình huống nghe có vẻ kỳ lạ này: Tôi chỉ clone repo Tôi chỉ mở IDE xem mã nguồn Nhưng khóa riêng trong máy tính đã biến mất Đây không phải do bạn sơ suất, cũng không phải do bạn thiếu ý thức về an ninh mạng, Mà là chuỗi công cụ frontend hiện đại tự động "thực thi mã dự án". --...