Achtung an alle, die nach Jahren den Job wechseln wollen, ich habe in den letzten Tagen einige Beiträge auf Threads gesehen, wo jemand bei einem Remote-Interview ein Repo geklont hat, ohne es manuell auszuführen, und mit einer IDE (VS Code / Cursor ..) den Quellcode anzusehen, und dabei sind die privaten Schlüssel des Computers nach außen gelangt. -- Um die Angriffsmechanik zu ergänzen, viele Menschen haben das eigentlich missverstanden. Heutzutage sind IDEs (VS Code, Cursor, WebStorm) schon lange nicht mehr nur Werkzeuge, um "Code zu betrachten". Sobald du ein Repo öffnest, lädt die IDE automatisch die Konfigurationsdateien des Projekts mit Node.js, um dir bei ESLint, Prettier, TypeScript-Typanalyse und Framework-Erkennung (Next.js / Vite / React) zu helfen. Dateien wie eslint.config.js, prettier.config.js, next.config.js, vite.config.js, diese sehen zwar wie Konfigurationsdateien aus, sind aber im Grunde "ausführbares JavaScript". Angreifer verstecken bösartigen Code in diesen Konfigurationsdateien. Du führst kein npm run aus, kein node index.js, aber die IDE hat es bereits für dich ausgeführt. Sobald es ausgeführt wird, kann es unter "Benutzerrechten" viele Dinge tun, wie z.B. die privaten Schlüssel, SSH-Keys, Konfigurationsdateien auf dem Computer zu lesen und die Daten nach außen zu senden, der gesamte Prozess zeigt kein Fenster an und lässt dich nichts bemerken. Deshalb gibt es diese merkwürdige Situation: Ich habe nur das Repo geklont, ich habe nur die IDE geöffnet, um den Quellcode anzusehen, aber die privaten Schlüssel auf dem Computer sind verschwunden. Das ist nicht, weil du einen Fehler gemacht hast, und es ist auch nicht, weil du kein Sicherheitsbewusstsein hast, sondern weil die modernen Frontend-Toolchains "automatisch Projektcode ausführen"....