«Скинули репозиторій перед співбесідою»: розробник виявив шкідливий код у тестовому завданні
Український Front-End Engineer Даніїл Костюк розповів про потенційно небезпечну схему, з якою зіткнувся під час спілкування з «роботодавцем» у LinkedIn.
Український Front-End Engineer Даніїл Костюк розповів про потенційно небезпечну схему, з якою зіткнувся під час спілкування з «роботодавцем» у LinkedIn.
За словами розробника, йому написав чоловік, який представився CEO проєкту у сфері medical та Web3. Після короткого спілкування кандидат отримав пропозицію перейти до наступного етапу — переглянути репозиторій із кодом перед співбесідою.
«Спілкування максимально адекватне: розпитує про досвід, каже, що підходжу, пропонує рухатись до співбесіди. Скидає репозиторій, просить передзвонитись після того, як я подивлюсь флоу проєкту. В цілому нічого незвичного, але чомусь вирішив не відкривати код „на віру“ і чекнути його з Ai-шкою», — ділиться Даніїл.
Однак замість звичайного тестового завдання в репозиторії виявився шкідливий скрипт. «Вирішив не відкривати код „на віру“ і перевірити його. І як виявилось — не дарма», — зазначив Даніїл Костюк.
Що було всередині
За його словами, один із файлів (замаскований під bootstrap.min.js) виконував підозрілі дії: декодував прихований URL; відправляв туди змінні середовища; отримував у відповідь код;і одразу виконував його локально.
Фактично це відкривало можливість віддаленого виконання будь-якого коду на комп’ютері розробника.
Окрім цього, у репозиторії були й інші «мутні» мініфіковані скрипти.
Як працює схема
Ймовірно, мова йде про один із варіантів соціальної інженерії, коли зловмисники маскуються під рекрутерів або засновників стартапів і надсилають кандидатам «тестові завдання» або репозиторії.
Розрахунок — на те, що розробник запустить код локально, не перевіряючи його вміст.
Що радять розробникам
Даніїл Костюк закликає бути обережними: «Завжди перевіряйте, що ви збираєтесь запустити на своїй машині».
Серед базових рекомендацій: не запускати незнайомий код без перевірки; переглядати вміст скриптів, навіть якщо вони виглядають як стандартні бібліотеки; використовувати ізольовані середовища (sandbox, VM); звертати увагу на нетипову поведінку файлів.
«Один пробіл у крипті, який може коштувати вам тисячі доларів». Account Manager розповіла про схему скаму з криптою, на яку її мав намір спровокувати «клієнт із Telegram»
«Один пробіл у крипті, який може коштувати вам тисячі доларів». Account Manager розповіла про схему скаму з криптою, на яку її мав намір спровокувати «клієнт із Telegram»
«Хотів допомогти уникнути скаму». Бліц з автором Telegram-бота, який збирає чорний список підозрілих геймдев-компаній
«Хотів допомогти уникнути скаму». Бліц з автором Telegram-бота, який збирає чорний список підозрілих геймдев-компаній
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
