Обновить

Комментарии 20

Здравствуйте! Это я, Олег Назаров. Вы успешно прошли наше испытание. Готовы обсудить дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие, дальнейшие условия?

Сильно эмоциональный эмоджи.

А ведь проверить все возможные уровни атаки на компьютер разработчика, невероятно сложно. Мест где можно скрыть трояна просто огромное, да и знать все даже узкому специалисту просто нереально.

Прямо напрашивается стартап/приложение, который будет заниматься анализом всего и вся используя те же нейронки (правда векторы атак придется описывать вручную и по каждому свой аналитический пайплайн, что хоть и выглядит не решаемым в общем случае, но большую часть кейсов покроет).

Напрашивается подход – всегда считать "тестовые задания" попыткой подсадить троян, без исключений. Настоящий работодатель в курсе, что тестовые задания проходятся тем же ИИ и не проверяют вообще ничего.

Буквально сегодня мне рассказали "замечательную" историю.
Чувак искал работу. Ему скинули тестовое задание, он скачал его на рабочий макбук и там же запустил. Там был "пейлоад", на него сработали SIEM, учетку и ноутбук заблочили.
Чувака потом уволили, по совокупности.

Мораль: не запускайте малварь на рабочем компьютере, запускайте на своем, а лучше - внутри ВМки.

Только внутри ВМки без доступа к сети. Общение с хостом – через единственную shared папку в режиме read-only. Расковыряв, какие данные собирает тестовое задание можно, например, забить сервер потенциального работодателя мусором. Анализировать малварь достаточно интересно, если есть время поразвлечься.

Только если настроен выполнить тестовое - интернет все равно будет нужен, как минимум скачать зависимости проекта.

Классная идея, я уже пробовал в деле. Лечил одновременно 30 зараженных проектов на БУС, что раньше мне доставляло боль и не удавалось на 100% победить, с помощью ИИ-агента сделал минут за 30 с обучением

>>Бизнес может и должен использовать ИИ в рекрутинге — это нормально.

Может быть, с точки зрения бизнеса - нормально. С точки зрения соискателя тратится время на разбор мусора нулевой полезности, а площадке (hhru или хабркарьере, например) хорошо, трафик растёт.

Наверное через git clone можно и локально это всё посмотреть, не более рискованно, чем на сайте гитхаба? Я упускаю какие-то риски или сейчас так не принято?

Вспомнил, что vscode, при открытии проекта, спрашивает, доверять ли ему.

Классный, живой разбор реальной атаки: читается как небольшой триллер, но при этом даёт очень приземлённые и сразу применимые советы по безопасности для разработчиков. Особенно ценно, что автор показывает не абстрактную теорию, а конкретную схему с ИИ-агентом и малварью в .vscode, после чего остаётся чёткое понимание, какие именно настройки и привычки стоит поменять прямо сегодня.

а теперь читаем остальные комменты от этого автора и начинаем что-то подозревать ;)

Спасибо за статью, в очередной раз убеждаюсь - как легко можно стать жертвой, делая что-то казалось бы обыденное. В наше время голову нужно включать всегда и везде

А есть подобные рекомендации для защиты от вредоносных вставок в проектах IDEA/PyCharm/PHPStorm?

1.task.allowAutomaticTasks: off в VSCode

Настройка запрещает автоматический запуск workspace-задач. При значении off VSCode либо вообще не запустит задачу, либо явно спросит разрешения — в отличие от дефолтного поведения, когда задача стартует тихо.

Только task.allowAutomaticTasks в “off” идет по умолчанию.

в .vscode еще есть launch.json с настроенной конфигурацией, например, дебага + settings.json для унификации настроек по команде.

Я тоже этого Олега репортил. Интересно, хабр просто забил на мой репорт или он заново аккаунт создал? Я 23 февраля с ним общался.

Если в 2026-м году потенциальный работодатель пишет вам сам - это 100% фейк!)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации