Мошенники на LinkedIn

[bromium]

Ну что же вы самое интересное не сделали и не рассказали, что там опасного в их репозитории, понимаю что много всего там, ну хотя бы ии натравили. Тогда статья была бы гораздо полезнее и интереснее. Но все равно спасибо

[i360u]

Я, честно говоря, долго думал, копать дальше или нет. В итоге решил, что нет особого смысла, атаки ведь могут меняться, и прилетает опасная зависимость динамически, скорее всего. Главное - предупредить, чтобы никто не попадался на эту удочку, независимо от того, что там внутри на самом деле.

Ну и интервьюерам на заметку, если кто, возможно, без злого умысла решит, что это нормальная практика...

[savostin]

Да, ссылка на репу, возможно, многое прояснила. А так, может и нет ничего, мало ли чего забыли в .gitignore добавить, PDF какойнить.... Плохой английский сегодня вряд ли может быть доказательством плохого умысла, у меня самого такой :)

[i360u]

Репа же приватная. Доступ они дают прямо во время интервью. Ну и распространять ссылки на опасный код - не самая хорошая идея, наверное.

[savostin]

npm i <классная либа на сайте по первой ссылке из Google>

потенциально настолько же опасно...

[johnsqurrel]

распространять ссылки на опасный код - не самая хорошая идея

после явного не2смысленного предупреждения о мошонниках ? не согласен с вами.
умные расковыряют сами и еще напишут в чем там прикол и куда идет слив, а дураков не жаль.

ps: надо было выставить "бразильцам" встречное предложение: я анализирую ваше cryptoscumware
и дорабатываю его, а вы мне платите 2000 баксов, предоплата 50%.

[al01555]

А читателям я хочу порекомендовать НИКОГДА не устанавливать и не запускать код, которому вы полностью не доверяете на своем компьютере, сколько бы денег вам не предлагали.

У тебя на компьютере вообщего ничего не стоит, только голая ОС? И то под вопросом - как ты всё в ней проверил. А если стоит, то что почему доверяешь этому коду? Даже если есть причина доверять, код от этого не становится безопасным.

И код запускать можно, как ты и сам написал - в контейнере. Или на виртуалке. Всё равно есть опасность, да, но уже не такая. А если это код от таких интервьюверов, то, можно сказать, безопасно.

Поэтому - странный совет.

----

Поищи в репозитории по http, https - возможно, найдёшь тот код. Со мной такой интервьювер тоже связывался, на апВорке. Я слонировал репу и нашёл часть кода, который они вставили. Он был с бооооооооооольшим отступом от левой границы, примерно в 500 знаков. Я записал видео, но не про то, как запускаю код, а что нашёл их код.

Он - "а что это?"
Я - "как что? malicious код, который ты хотел, чтобы я запустил"

[i360u]

Поэтому - странный совет.

Ну если выдернуть из контекста - то да, возможно, странный. А так - действительно, любой код - потенциально опасен, но где-то риски приемлемы и, относительно, прогнозируемы, а где-то - сразу ред алерт.

[randomsimplenumber]

Странный вектор атаки. Очень узконаправленный. А если тот код посмотрят но не запустят? Просмотрят статическим анализатором? Посмотрит ИИ? Попросят расшарить экран и запустить? Запустят но в песочнице?

[panzerfaust]

Подход мошенников я бы описал древнегреческой пословицей: похитил фаллос, чтобы в афедроне спрятать. Столько приседаний, чтобы всего лишь закинуть какую-то гадость одному случайному человеку. Больше на телефонный пранк по стилю похоже.

[Gromilo]

Эта гадость высасывает всё что есть на компе: кредитные карты, крипто-кошельки. Айтишники могут быть весьма жирными и всё окупается.

[panzerfaust]

Ну как следует из статьи, айтишник поопытнее (и побогаче) не попался. Попадется лихой джун, которому хоть тушкой хоть чучелом работа нужна. Он и npm install и rm rf радостно выполнит. Только что с него взять?

Все равно похоже на рыбалку на удочку с ржавой блесной там, где все ловят сетями.

[Cheater]

"У вас нет контейнера для запуска гадости или вы не можете его создать за 5 минут, вы нам не подходите, прощайте".