Pozor všem, kdo po roce mění práci, Nedávno jsem viděl několik příspěvků na Threads, Někdo na pohovoru vzdáleně naklonoval repozitář bez ručního použití Použijte IDE (VS kód / kurzor ...) pro zobrazení zdrojového kódu Soukromý klíč v počítači byl uniklý. -- K principu útoku mnoho lidí skutečně špatně pochopilo. Dnešní IDE (VS Code, Cursor, WebStorm) už dlouho nejsou jen nástroji pro "čtení kódu". Jakmile otevřete repozitář, IDE Node.js automaticky použije k načtení konfiguračních souborů v projektu, které vám pomohou s ESLint, Prettier, analýzou typů TypeScript a detekcí frameworku (Next.js / Vite / React). Například eslint.config.js, prettier.config.js, next.config.js vite.config.js vypadají jako konfigurační soubory a v podstatě jsou všechny "spustitelný JavaScript". Útočníci skrývají škodlivý kód v těchto profilech. Nemáš NPM spuštěný, nemáš node index.js, Ale IDE to už za vás udělalo jako první. Po spuštění můžete pod "uživatelskými oprávněními" dělat mnoho věcí, například číst soukromý klíč, SSH klíč a konfigurační soubor v počítači, a pak data odesílat, a celý proces vám nepřeskočí žádná okna ani vám nedovolí si toho všimnout. Proto se tato podivně znějící situace děje: Jsem jen klonovaný repozitář Prostě otevřu IDE a podívám se na zdrojový kód Ale soukromý klíč v počítači zmizel Není to tak, že byste byli mazaní nebo že byste nevěděli o informační bezpečnosti. Místo toho moderní front-end toolchain sám "automaticky vykonává projektový kód". --...