Atenção a todos que mudarem de emprego após o ano, Recentemente, vi alguns posts no Threads, Alguém entrevistado clona remotamente um repositório sem fazer isso manualmente Use o IDE (VS code / Cursor...) para visualizar o código-fonte A chave privada do computador foi vazada. -- Para acrescentar o princípio do ataque, muitas pessoas realmente entenderam errado. Os IDEs de hoje (VS Code, Cursor, WebStorm) há muito tempo são mais do que apenas ferramentas para "ler código". Assim que você abre o repositório, o IDE usará automaticamente Node.js para carregar os arquivos de configuração no projeto e ajudar com ESLint, Prettier, análise de tipos TypeScript e detecção de framework (Next.js / Vite / React). Por exemplo, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, parecem arquivos de configuração e são essencialmente todos "JavaScript executável". Atacantes escondem códigos maliciosos nesses perfis. Você não tem o NPM rodando, não tem o nó index.js, Mas o IDE já fez isso por você primeiro. Uma vez executado, você pode fazer muitas coisas sob "permissões de usuário", como ler a chave privada, a chave SSH e o arquivo de configuração no computador, e depois enviar os dados, e todo o processo não vai pular nenhuma janela nem deixar você perceber. É por isso que essa situação que soa bizarra acontece: Sou só um repositório clone Eu só abro o IDE e olho o código-fonte Mas a chave privada do computador sumiu Não é que você seja escorregadio, ou que não esteja ciente de segurança da informação. Em vez disso, a própria cadeia de ferramentas front-end moderna "executa automaticamente o código do projeto". --...