Python Software Engineer Владислав Баштанник розповів у LinkedIn про «доволі якісний malware», який виявив у технічному тестовому завданні.
Python Software Engineer Владислав Баштанник розповів у LinkedIn про «доволі якісний malware», який виявив у технічному тестовому завданні.
Владислав отримав технічне тестове через репозиторій на GitHub. Йому пропонували виконати кілька завдань, а саме: перевірити працездатність бекенду, додати сторінку авторизації, а також виправити частину з графіком web3 на сторінці дашборду.
Перед запуском айтівець провів перевірку безпеки коду та виявив патерни, що нагадували шкідливий софт і могли призвести до віддаленого доступу до системи або викрасти токени/секрети. Про свої знахідки він повідомив роботодавця.
«Під час перевірки репозиторію перед запуском я виявив кілька критичних проблем із безпекою, які заважають мені безпечно запустити його на моїй локальній машині. Зокрема, я знайшов патерни, еквівалентні поведінці віддаленого виконання коду (dynamic remote fetch + eval execution), небезпечну конструкцію коду під час виконання, підозрілу конфігурацію залежностей, а також закомічені секрети всередині репозиторію», — написав Владислав.
Після того як розробник відмовився запускати проєкт локально, його просто заблокували.
Для перевірки коду Владислав використовував штучний інтелект.
У коментарях до його допису один із розробників зауважив, що подібні випадки трапляються доволі часто, а для запуску незнайомих проєктів безпечніше використовувати локальну віртуальну машину або одноразове хмарне середовище, оскільки навіть із контейнерів Docker чи Podman інколи вдається вирватися. Він також висловив думку, що ШІ може допомагати з аналізом коду, але лише питання часу, коли зловмисники почнуть навмисно перевантажувати контекст сотнями заплутаних файлів, щоб ускладнити виявлення небезпечних фрагментів.
У кінці допису Владислав нагадав колегам: «Не запускайте незнайомі репозиторії без аналізу. Сьогодні „тестове завдання“ може коштувати вам дуже дорого».
