Comments 21
Ну что же вы самое интересное не сделали и не рассказали, что там опасного в их репозитории, понимаю что много всего там, ну хотя бы ии натравили. Тогда статья была бы гораздо полезнее и интереснее. Но все равно спасибо
Я, честно говоря, долго думал, копать дальше или нет. В итоге решил, что нет особого смысла, атаки ведь могут меняться, и прилетает опасная зависимость динамически, скорее всего. Главное - предупредить, чтобы никто не попадался на эту удочку, независимо от того, что там внутри на самом деле.
Ну и интервьюерам на заметку, если кто, возможно, без злого умысла решит, что это нормальная практика...
Проблема в том, что опасное может быть не в репе, а на стороне. Код может подтянуть вредонос через зависимость только в момент, когда автор на той стороне решит это активировать, например, во время созвона. До этого там может быть вообще ничего подозрительного. Вот такие атаки и страшнее всего.
Да, ссылка на репу, возможно, многое прояснила. А так, может и нет ничего, мало ли чего забыли в .gitignore добавить, PDF какойнить.... Плохой английский сегодня вряд ли может быть доказательством плохого умысла, у меня самого такой :)
Репа же приватная. Доступ они дают прямо во время интервью. Ну и распространять ссылки на опасный код - не самая хорошая идея, наверное.
npm i <классная либа на сайте по первой ссылке из Google>
потенциально настолько же опасно...
распространять ссылки на опасный код - не самая хорошая идея
после явного не2смысленного предупреждения о мошонниках ? не согласен с вами.
умные расковыряют сами и еще напишут в чем там прикол и куда идет слив, а дураков не жаль.
ps: надо было выставить "бразильцам" встречное предложение: я анализирую ваше cryptoscumware
и дорабатываю его, а вы мне платите 2000 баксов, предоплата 50%.
Код может быть рассчитан на умных ковыряльщиков. Репозиторий может быть чистым, а вредоносный код подтягиваться по команде. Например он появится только в момент созвона или в рамках многоуровневой атаки. Поэтому умный не будет тратить на это время. 2К? - это для школьников...
Код может быть рассчитан на умных ковыряльщиков.
а может и не быть.
Репозиторий может быть чистым,
а может и не быть.
а вредоносный код подтягиваться по команде.
против этого фаерволл есть.
но смысла гадать я не вижу, а что там внутре мы никогда не узнаем,
потому что автор зажилил ссылку.
2К? - это для школьников...
смысл - кинуть кидал на предоплату.
если цена неправдоподобна, назначайте свою.
ps: минусовали те кого не жаль. хехе.
А читателям я хочу порекомендовать НИКОГДА не устанавливать и не запускать код, которому вы полностью не доверяете на своем компьютере, сколько бы денег вам не предлагали.
У тебя на компьютере вообщего ничего не стоит, только голая ОС? И то под вопросом - как ты всё в ней проверил. А если стоит, то что почему доверяешь этому коду? Даже если есть причина доверять, код от этого не становится безопасным.
И код запускать можно, как ты и сам написал - в контейнере. Или на виртуалке. Всё равно есть опасность, да, но уже не такая. А если это код от таких интервьюверов, то, можно сказать, безопасно.
Поэтому - странный совет.
----
Поищи в репозитории по http, https - возможно, найдёшь тот код. Со мной такой интервьювер тоже связывался, на апВорке. Я слонировал репу и нашёл часть кода, который они вставили. Он был с бооооооооооольшим отступом от левой границы, примерно в 500 знаков. Я записал видео, но не про то, как запускаю код, а что нашёл их код.
Он - "а что это?"
Я - "как что? malicious код, который ты хотел, чтобы я запустил"
Странный вектор атаки. Очень узконаправленный. А если тот код посмотрят но не запустят? Просмотрят статическим анализатором? Посмотрит ИИ? Попросят расшарить экран и запустить? Запустят но в песочнице?
Подход мошенников я бы описал древнегреческой пословицей: похитил фаллос, чтобы в афедроне спрятать. Столько приседаний, чтобы всего лишь закинуть какую-то гадость одному случайному человеку. Больше на телефонный пранк по стилю похоже.
Эта гадость высасывает всё что есть на компе: кредитные карты, крипто-кошельки. Айтишники могут быть весьма жирными и всё окупается.
"У вас нет контейнера для запуска гадости или вы не можете его создать за 5 минут, вы нам не подходите, прощайте".
Контейнер можно запустить за 30 сек, минуту, 5 минут, но толку от этого мало. Если атака управляется на стороне, код будет выглядеть чистым до последней секунды, а нужный кусок подтянется только во время созвона. Атака может быть откулючена на момент просмотра в контейнере. Тут дело не в технической возможности, а в том, что нет смысла играть по их правилам.
Жаль репу не склонил просто, приложил бы к публикации или просто где выложил. Любопытно.
Забавно, что до сих пор находятся те, кто верит в "подарочные" тестовые задания с доступом к репе.
Тоже была подобная история, где кто-то собирался сделать шахматы (что уже вызвало вопросы) и дали мне, случайному человеку, ссылку на код. Я посмотрел глазами - что-то действительно похоже на шахматы. Потом снова списались, а меня в ответ просят скриншот прислать. Не понимаю, какой именно, а мне говорят, что запущенной программы, на что я ответил, что не запускаю незнакомый код на компе. После этого человек по-быстрому удалился, даже профиль на LinkedIn вскоре пропал. Я об этом с подробностями там же пост и написал.
Мошенники на LinkedIn