💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉
Марія БровінськаТаке життя
16 січня 2025, 11:38
2025-01-16
«Виявив дуже цікавий код поза зоною робочої видимості». Senior Frontend Developer розповів, як стикнувся з шахрайством — проєкт, який зовні виглядав досить зрозуміло, приховував у собі загрозу. І такі випадки, кажуть айтівці, непоодинокі
Senior Frontend Developer Даниїл Літвак стикнувся із шахраєм, який пропонував йому завершити й встановити проєкт. Утім, розробник виявив у коді дещо цікаве.
Senior Frontend Developer Даниїл Літвак стикнувся із шахраєм, який пропонував йому завершити й встановити проєкт. Утім, розробник виявив у коді дещо цікаве.
«Щойно мав досвід спілкування із шахраєм. Ніколи не встановлюйте проєкти, якою б гарною не була історія чи обіцяний погодинний рейт. Написав мені пан Richard Goldberg із дуже цікавою пропозицією. По-перше, здивувало те, що він одразу надіслав посилання на проєкт у GitHub. Я переглянув його, і, здавалося б, встановлювати нічого не потрібно — по коду все виглядало зрозуміло. Проєкт виглядав так, ніби це завершальне завдання джуна після курсів. Але я ніколи не встановлюю проєкти на основну систему, у яких я не впевнений. Пропозиція дійсно виглядала цікавою. Тож я вирішив перевірити. Виявив дуже цікавий код поза зоною робочої видимості. Детально розбиратися не маю часу, але впевнений, що це не призведе до чогось доброго», — зазначив фахівець та показав переписку зі співрозмовником.
«Спочатку я зосередився на залежностях, необхідних для проєкту. Я порівнював бібліотеки, які були мені знайомі, навіть просто за назвами. Це не зайняло багато часу, але було цікаво. Потім я перевірив скрипти, які виконувалися в package.json, і спочатку нічого не помітив. Однак, переглянувши скрипти вдруге більш уважно, я помітив горизонтальну смугу прокрутки. Роки роботи над версткою сайтів на HTML, особливо для мобільних пристроїв, напевно, натренували моє око помічати смугу прокрутки, яка колись мене так дратувала», — розповів Літвак про шлях виявлення підозрілих елементів.
Після того, як розробник пояснив, що не встановлюватиме на основний сервер запропонований проєкт з міркувань безпеки, співрозмовник зник.
Подібні схеми, зазначають айтівці, не рідкість.
Подібний кейс мав і техлід Віталій Попов. «У мене був схожий випадок, надане репо було на Bitbucket. Так що розглядайте Bitbucket як негативний сигнал. Я запустив проєкт на VM, і він мав дуже простий дизайн», — зазначив фахівець.
«Нещодавно читала аналогічну історію від закордонного розробника, але в процесі співбесіди вони розгорнули проєкт, і він помітив якісь дивацтва приховані, які збирали дані з машини. Щось таке. Тож, певно, цей вид шахрайства зараз набирає популярності. Треба бути обережним», — зазначила рекрутерка Олександра Мукомел.
До речі, наразі профіль співрозмовника Даниїла в LinkedIn заблоковано. Розробник закликає накидати страйків і на GitHub.
Фахівці ж загалом радять використовувати технологію віртуальної машини для ознайомлення з невідомими проєктами. Більше коментарів тут.
Шахраї, що представляються підтримкою mono, погрожують клієнтам monobank блокуванням карт і запрошують з’явитися у відділення банку на «вулицю бульвара Хмельницького». Як не попастися на гачок