Frontend Developer Валентин Олійник отримав пропозицію щодо роботи у проєкті health care з інтеграцією штучного інтелекту. Усе виглядало «невинно», поки справа не дійшла до репозиторію проєкту на GitHub. Що виявив розробник після свого невеликого розслідування?
Frontend Developer Валентин Олійник отримав пропозицію щодо роботи у проєкті health care з інтеграцією штучного інтелекту. Усе виглядало «невинно», поки справа не дійшла до репозиторію проєкту на GitHub. Що виявив розробник після свого невеликого розслідування?
«Почалось все невинно: він — перспективний канадець з перспективним проєктом. Має 800+ контактів, профіль 2010 року, постійні пости про одну і ту саму компанію. При чому пости дійсно стабільні й навіть є 4-річної давнини про ту компанію, в якій він зараз працює. Каже, є проєкт в health care з інтеграцією штучного інтелекту. Спитав про моє CV і з чим я працював. Потім попросив гітхаб, щоб пошерити репу проєкту. І ось тут, на жаль, невинність починає закінчуватись», — написав Валентин Олійник у LinkedIn.
Як пояснив розробник, проєкт був на Next з фронтом та беком, авторизація через JWT, інтеграція Google Gemini, проєкт має 70 скриптів і React компонентів.
«З цікавого: проєкт залили одним комітом 7 місяців тому… Я запитав у шановного пана, чому так. На що він мені відповів: «Виявилось, що програміст не знав гіт».
Той факт, що програміст написав фронт і авторизацію, але не знає Git, викликав підозру у розробника, тому він вирішив усе перевірити.
Фото канадця у LinkedIn поганої якості та природі, тому за допомогою Google нічого не вдалося знайти. Потім Валентин просто загуглив ім’я, і виявилося, що воно дуже схоже із французьким художником Жан-Франсуа Мілле. Єдина різниця — у канадця прізвище Мілло.
Перед тим, як почати шукати в коді магічні слова всіх «мамкених хакерів», а саме Function.constructor, розробник знайшов файл cities.js, який має те, що може потенційно нашкодити компʼютеру.
На скриншоті вище показана функція verifyToken, яка:
Валентин не переходив по цій URL-адресі, тому він тільки зробив припущення, що могло відбуватися далі.
«Якщо лінка віддає код помилки, то ми попадаємо в catch. З кодом помилки скоріш за все приходить текст, тобто потенційний небезпечний джс код. Який зі строки перетворюється на повноцінний код. І асайниться весь цей код обернений в функцію в змінну errorHandler. Виклик цього коду з передачею в нього require для імпорту будь-яких модулів і потім використання, наприклад модуля fs проти моєї системи. Ну і на 58 рядку ця функція викликається тобто при піднятті проєкту і завантаженні цього файлу cities.js атака почнеться. «, — пояснює розробник.
Через обережність Валентин не запустив цей проєкт в Docker, і не став «фетчити інфу з цієї лінки aka locationToken».
Раніше ми розповідали про нову схему шахраїв-рекрутерів у LinkedIn, на яку натрапила розробниця Валерія Мунтян.
