💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉

«Виявив дуже цікавий код поза зоною робочої видимості». Senior Frontend Developer розповів, як стикнувся з шахрайством — проєкт, який зовні виглядав досить зрозуміло, приховував у собі загрозу. І такі випадки, кажуть айтівці, непоодинокі

Senior Frontend Developer Даниїл Літвак стикнувся із шахраєм, який пропонував йому завершити й встановити проєкт. Утім, розробник виявив у коді дещо цікаве.

Залишити коментар
«Виявив дуже цікавий код поза зоною робочої видимості». Senior Frontend Developer розповів, як стикнувся з шахрайством — проєкт, який зовні виглядав досить зрозуміло, приховував у собі загрозу. І такі випадки, кажуть айтівці, непоодинокі

Senior Frontend Developer Даниїл Літвак стикнувся із шахраєм, який пропонував йому завершити й встановити проєкт. Утім, розробник виявив у коді дещо цікаве.

«Щойно мав досвід спілкування із шахраєм. Ніколи не встановлюйте проєкти, якою б гарною не була історія чи обіцяний погодинний рейт. Написав мені пан Richard Goldberg із дуже цікавою пропозицією. По-перше, здивувало те, що він одразу надіслав посилання на проєкт у GitHub. Я переглянув його, і, здавалося б, встановлювати нічого не потрібно — по коду все виглядало зрозуміло. Проєкт виглядав так, ніби це завершальне завдання джуна після курсів. Але я ніколи не встановлюю проєкти на основну систему, у яких я не впевнений. Пропозиція дійсно виглядала цікавою. Тож я вирішив перевірити. Виявив дуже цікавий код поза зоною робочої видимості. Детально розбиратися не маю часу, але впевнений, що це не призведе до чогось доброго», — зазначив фахівець та показав переписку зі співрозмовником. 

«Спочатку я зосередився на залежностях, необхідних для проєкту. Я порівнював бібліотеки, які були мені знайомі, навіть просто за назвами. Це не зайняло багато часу, але було цікаво. Потім я перевірив скрипти, які виконувалися в package.json, і спочатку нічого не помітив. Однак, переглянувши скрипти вдруге більш уважно, я помітив горизонтальну смугу прокрутки. Роки роботи над версткою сайтів на HTML, особливо для мобільних пристроїв, напевно, натренували моє око помічати смугу прокрутки, яка колись мене так дратувала», — розповів Літвак про шлях виявлення підозрілих елементів.

Після того, як розробник пояснив, що не встановлюватиме на основний сервер запропонований проєкт з міркувань безпеки, співрозмовник зник. 

Подібні схеми, зазначають айтівці, не рідкість. 

Подібний кейс мав і техлід Віталій Попов. «У мене був схожий випадок, надане репо було на Bitbucket. Так що розглядайте Bitbucket як негативний сигнал. Я запустив проєкт на VM, і він мав дуже простий дизайн», — зазначив фахівець.

«Нещодавно читала аналогічну історію від закордонного розробника, але в процесі співбесіди вони розгорнули проєкт, і він помітив якісь дивацтва приховані, які збирали дані з машини. Щось таке. Тож, певно, цей вид шахрайства зараз набирає популярності. Треба бути обережним», — зазначила рекрутерка Олександра Мукомел.

До речі, наразі профіль співрозмовника Даниїла в LinkedIn заблоковано. Розробник закликає накидати страйків і на GitHub. 

Фахівці ж загалом радять використовувати технологію віртуальної машини для ознайомлення з невідомими проєктами. Більше коментарів тут

Шахраї що представляються підтримкою mono погрожують клієнтам monobank блокуванням карт і запрошують з’явитися у відділення банку на «вулицю бульвара Хмельницького». Як не попастися на гачок
Шахраї, що представляються підтримкою mono, погрожують клієнтам monobank блокуванням карт і запрошують з’явитися у відділення банку на «вулицю бульвара Хмельницького». Як не попастися на гачок
По темi
Шахраї, що представляються підтримкою mono, погрожують клієнтам monobank блокуванням карт і запрошують з’явитися у відділення банку на «вулицю бульвара Хмельницького». Як не попастися на гачок
«Привіт я з TikTokHR і хочу запросити вас стати нашим онлайн-співробітником». Як шахраї виманили у шукача підробітку 50 000 грн
«Привіт, я з TikTokHR і хочу запросити вас стати нашим онлайн-співробітником». Як шахраї виманили у шукача підробітку 50 000 грн
По темi
«Привіт, я з TikTokHR і хочу запросити вас стати нашим онлайн-співробітником». Як шахраї виманили у шукача підробітку 50 000 грн
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Підключай Megogo зі знижками за акційними тарифами.

від 99 гривень на місяць

Читайте також
«Продати» iPhone 8 Plus двічі та отримати строк: історія шахрая з Хмельниччини, який «обдирав» довірливих юзерів в Insragram
«Продати» iPhone 8 Plus двічі та отримати строк: історія шахрая з Хмельниччини, який «обдирав» довірливих юзерів в Insragram
«Продати» iPhone 8 Plus двічі та отримати строк: історія шахрая з Хмельниччини, який «обдирав» довірливих юзерів в Insragram
Instagram-підприємиця з Дніпра, що ошукала понад 30 покупців, отримала 4 роки тюрми. Вона керувала 7 псевдо-магазинами
Instagram-підприємиця з Дніпра, що ошукала понад 30 покупців, отримала 4 роки тюрми. Вона керувала 7 псевдо-магазинами
Instagram-підприємиця з Дніпра, що ошукала понад 30 покупців, отримала 4 роки тюрми. Вона керувала 7 псевдо-магазинами
Транснаціональні інтернет-шахраї за три роки вкрали понад 600 000 євро. Їх викрили харківські кіберполіцейські
Транснаціональні інтернет-шахраї за три роки вкрали понад 600 000 євро. Їх викрили харківські кіберполіцейські
Транснаціональні інтернет-шахраї за три роки вкрали понад 600 000 євро. Їх викрили харківські кіберполіцейські
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
1 коментар

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.