Attenzione a tutti coloro che stanno pensando di cambiare lavoro dopo un anno, recentemente ho visto alcuni post su Threads, qualcuno ha fatto un colloquio remoto clonando un repo senza eseguire manualmente usando un IDE (VS code / Cursor ..) per controllare il codice sorgente, e la chiave privata nel computer è stata esposta. -- Aggiungo un chiarimento sul principio dell'attacco, molti in realtà hanno frainteso. Gli IDE attuali (VS Code, Cursor, WebStorm) non sono più solo strumenti per "guardare il codice". Quando apri un repo, l'IDE, per aiutarti con ESLint, Prettier, analisi dei tipi TypeScript, rilevamento dei framework (Next.js / Vite / React), carica automaticamente i file di configurazione del progetto usando Node.js. File come eslint.config.js, prettier.config.js, next.config.js, vite.config.js, che sembrano file di configurazione, in realtà sono tutti "JavaScript eseguibile". L'attaccante nasconde il codice malevolo in questi file di configurazione. Non hai eseguito npm run, non hai eseguito node index.js, ma l'IDE ha già eseguito il codice per te. Una volta eseguito, può fare molte cose "con i permessi dell'utente", come leggere la chiave privata, la chiave SSH, i file di configurazione e inviare i dati all'esterno, tutto il processo non mostra alcuna finestra e non ti fa accorgere di nulla. Ecco perché si verifica questa situazione che sembra strana: Ho solo clonata un repo Ho solo aperto l'IDE per vedere il codice sorgente Ma la chiave privata nel computer è scomparsa. Non è colpa tua se hai fatto un errore, né se non hai consapevolezza della sicurezza informatica, ma è che la moderna catena di strumenti frontend esegue automaticamente il "codice del progetto". --...