Uppmärksamhet till alla som byter jobb efter året, Nyligen såg jag några inlägg på Threads, Någon intervjuade ett repository på distans utan att göra det manuellt Använd IDE (VS-kod / markör ..) för att se källkoden Den privata nyckeln i datorn läckte ut. -- För att lägga till principen om attack, så missförstod många faktiskt folk. Dagens IDE:er (VS Code, Cursor, WebStorm) har länge varit mer än bara verktyg för att "läsa kod". Så fort du öppnar repo kommer IDE:n automatiskt att använda Node.js för att ladda konfigurationsfilerna i projektet för att hjälpa dig med ESLint, Prettier, TypeScript-typanalys och ramverksdetektering (Next.js / Vite / React). Till exempel eslint.config.js, prettier.config.js, next.config.js, vite.config.js, dessa ser ut som konfigurationsfiler, och de är i princip alla "exekverbar JavaScript". Angripare döljer skadlig kod i dessa profiler. Du har inte npm run, du har inte node index.js, Men IDE:n har redan gjort det för dig först. När det är kört kan du göra många saker under "användarbehörigheter", som att läsa den privata nyckeln, SSH-nyckeln och konfigurationsfilen i datorn, och sedan skicka ut datan, och hela processen hoppar inte över några fönster eller låter dig märka det. Det är därför denna bisarra situation uppstår: Jag är bara ett klonrepo Jag öppnar bara IDE:n och tittar på källkoden Men den privata nyckeln i datorn är borta Det är inte så att du är hal eller att du inte är medveten om informationssäkerhet. Istället kör den moderna frontend-verktygskedjan själv "automatiskt projektkod". --...