Perhatian semua orang yang berganti pekerjaan setelah tahun, Baru-baru ini, saya melihat beberapa posting Threads, Seseorang yang diwawancarai mengkloning repositori dari jarak jauh tanpa melakukannya secara manual Gunakan IDE ( VS code / Cursor ..) untuk view kode sumber Kunci pribadi di komputer bocor. -- Untuk menambahkan prinsip serangan, banyak orang yang justru salah paham. IDE saat ini (VS Code, Cursor, WebStorm) telah lama menjadi lebih dari sekadar alat untuk "membaca kode". Segera setelah Anda membuka reposito, IDE akan secara otomatis menggunakan Node.js untuk memuat file konfigurasi dalam proyek untuk membantu Anda dengan analisis jenis ESLint, Prettier, TypeScript, dan deteksi kerangka kerja (Next.js / Vite / React). Misalnya, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, ini terlihat seperti file konfigurasi, dan pada dasarnya semuanya adalah "JavaScript yang dapat dieksekusi". Penyerang menyembunyikan kode berbahaya di profil ini. Anda tidak memiliki npm run, Anda tidak memiliki node index.js, Tetapi IDE telah melakukannya untuk Anda terlebih dahulu. Setelah dieksekusi, Anda dapat melakukan banyak hal di bawah "izin pengguna", seperti membaca kunci pribadi, kunci SSH, dan file konfigurasi di komputer, dan kemudian mengirim data keluar, dan seluruh proses tidak akan melompati jendela apa pun atau membuat Anda menyadarinya. Itu sebabnya situasi yang terdengar aneh ini terjadi: Saya hanya repo klon Saya hanya membuka IDE dan melihat kode sumber Tapi kunci pribadi di komputer hilang Bukan karena Anda licin, atau karena Anda tidak menyadari keamanan informasi. Sebagai gantinya, rantai alat front-end modern itu sendiri "secara otomatis mengeksekusi kode proyek". --...