«Робиш тестове, а тим часом твої дані викрадають криптошахраї». Айтівець Yalantis розповів про нову «схему» зловмисників
Як влаштована небезпечна «схема» та як їй протидіяти.
Як влаштована небезпечна «схема» та як їй протидіяти.
Engineering Director, SDET Lead в Yalantis Артур Шевченко розповів про нову шахрайську схему, пов’язану з виконанням тествого завдання.
«Хлопцю надіслали тестове — треба було запустити сервер і виконати певну задачу. При запуску сервер не показував логів. Він помітив, що один модуль був підключений доволі дивно (код підключення був захований купою відступів, щоб його не було видно у файловому провіднику VSCode).
Внизу був ось такий файл:
Проаналізувавши, кандидат зрозумів, що файл збирав інформацію з комп’ютера та надсилав її на IP-адресу. З усього видно, що дані, які намагалися викрасти, були пов’язані з криптогаманцями.
Артур Шевченко дає поради, як можна уникнути небезпеку в такому випадку:
— Перевіряти код перед запуском: аналізувати проєкт, особливо скрипти в кореневих файлах, прихованих папках або модулях.
— Юзати ізольоване середовище: ранити код у віртуальних машинах (VirtualBox, VMware або Hyper-V) або Docker (шось по тіпу docker run —rm -it -v $(pwd):/app -w /app node:latest bash), щоб уникнути доступу до реальних даних на вашому комп’ютері.
— Як варіант можна заюзати окремий обліковий запис. Якщо ви не хочете налаштовувати VM, можна зробити окремий обліковий запис користувача на своєму компі з мінімальними правами доступу.
— Скануйвати репо: інструменти для аналізу шкідливого коду, можуть допомогти тут вам.
— Аналізувати приховані файлів: все шо починається «.», можуть бути прихованими в IDE. Можна включити відображення прихованих файлів, щоб нічого не пропустити.
— Перевіряти залежності: чекніть package.json, requirements.txt, або інші файли залежностей на наявність підозрілих бібліотек
— Обфускований код: непрозорий код (наприклад, довгі рядки без коментарів, мінімізовані або обфусковані скрипти) від невідомих людей, це привід для додаткової перевірки
— Підозрілі IP-адреси або домени в коді — це червоний прапорець.