Atención a todos los que cambian de trabajo después del año, Recientemente, vi algunas publicaciones en Threads, Alguien entrevistado clonó remotamente un repositorio sin hacerlo manualmente Utiliza el IDE (VS code / Cursor...) para ver el código fuente La clave privada del ordenador se filtró. -- Para añadir el principio del ataque, mucha gente en realidad malinterpretó. Los IDEs actuales (VS Code, Cursor, WebStorm) han sido durante mucho tiempo mucho más que simples herramientas para "leer código". En cuanto abras el repositorio, el IDE usará automáticamente Node.js para cargar los archivos de configuración en el proyecto y ayudarte con ESLint, Prettier, análisis de tipos TypeScript y detección de frameworks (Next.js / Vite / React). Por ejemplo, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, parecen archivos de configuración, y esencialmente todos son "JavaScript ejecutable". Los atacantes ocultan código malicioso en estos perfiles. No tienes el NPM en marcha, no tienes el nodo index.js, Pero el IDE ya lo ha hecho por ti primero. Una vez ejecutado, puedes hacer muchas cosas bajo "permisos de usuario", como leer la clave privada, la clave SSH y el archivo de configuración en el ordenador, y luego enviar los datos, y todo el proceso no saltará a ninguna ventana ni te dejará notarlo. Por eso ocurre esta situación que suena tan extraña: Solo soy un repositorio clon Simplemente abro el IDE y miro el código fuente Pero la clave privada del ordenador ha desaparecido No es que seas escurridizo o que no seas consciente de la seguridad de la información. En su lugar, la cadena de herramientas de front-end moderna "ejecuta automáticamente el código del proyecto". --...