Увага всім, хто змінює роботу після року, Нещодавно я побачив кілька постів у Threads, Хтось на співбесіді віддалено клонував репозиторію, не роблячи цього вручну Використовуйте IDE (VS код / курсор ..) для перегляду вихідного коду Приватний ключ у комп'ютері був витік. -- Додаючи до принципу атаки, багато людей насправді неправильно зрозуміли. Сучасні IDE (VS Code, Cursor, WebStorm) давно є чимось більшим, ніж просто інструментами для «читання коду». Як тільки ви відкриваєте репозиторій, IDE автоматично використовує Node.js для завантаження конфігураційних файлів у проєкті, які допоможуть вам з ESLint, Prettier, аналізом типів TypeScript і виявленням фреймворку (Next.js / Vite / React). Наприклад, eslint.config.js, prettier.config.js, next.config.js, vite.config.js виглядають як конфігураційні файли, і по суті всі вони є «виконуваним JavaScript». Зловмисники приховують шкідливий код у цих профілях. У тебе немає npm run, немає вузла index.js, Але IDE вже зробила це для вас спочатку. Після виконання ви можете робити багато функцій у розділі «user permissions», наприклад, читати приватний ключ, SSH-ключ і файл конфігурації на комп'ютері, а потім надсилати дані, і весь процес не буде стрибати через жодне вікно і не дозволятиме вам це помітити. Ось чому виникає така дивна ситуація: Я просто клон-репозиторій Я просто відкриваю IDE і дивлюся вихідний код Але приватний ключ у комп'ютері зник. Справа не в тому, що ви слизкі чи не знаєте про інформаційну безпеку. Натомість сучасний фронтенд-інструментарій сам «автоматично виконує код проєкту». --...