Добавить в корзинуПозвонить
Найти в Дзене
Информационная безопасность для каждого
1 подписчик

👨‍💻 «Меня почти взломали на собеседовании

1 мин
» В прошлом году разработчик опубликовал в сети свою историю, которая должна насторожить каждого. Как он заявляет: «Я был в 30 секундах от того, чтобы запустить малварь на своём компьютере». Данная история показывает, что даже опытные специалисты не застрахованы от изощрённых атак. Для автора все началось с сообщения от компании Symfa (реальная компания, реальный профиль, 1000+ контактов). Сообщение было в профессиональном тоне 💼 с чётким предложением на частичную занятость. Перед интервью «рекрутер» прислал ссылку на «тестовое задание»: Bitbucket-репозиторий с тестовым проектом (React + Node.js): ⏺Чистая структура, грамотный README, документация; ⏺Даже корпоративное фото «в тему» — всё как у настоящих компаний; ⏺Дедлайн: 30 минут на ознакомление. Так как возникла намеренная срочность, то автор решил быстро «пощупать» код — без песочницы, без Docker. Но перед запуском автор спохватился и задал простой вопрос своему AI-ассистенту (Cursor): «Проверь этот код на подозрительные активно

👨‍💻 «Меня почти взломали на собеседовании»

В прошлом году разработчик опубликовал в сети свою историю, которая должна насторожить каждого. Как он заявляет: «Я был в 30 секундах от того, чтобы запустить малварь на своём компьютере». Данная история показывает, что даже опытные специалисты не застрахованы от изощрённых атак.

Для автора все началось с сообщения от компании Symfa (реальная компания, реальный профиль, 1000+ контактов). Сообщение было в профессиональном тоне 💼 с чётким предложением на частичную занятость.

Перед интервью «рекрутер» прислал ссылку на «тестовое задание»: Bitbucket-репозиторий с тестовым проектом (React + Node.js):

⏺Чистая структура, грамотный README, документация;

⏺Даже корпоративное фото «в тему» — всё как у настоящих компаний;

⏺Дедлайн: 30 минут на ознакомление.

Так как возникла намеренная срочность, то автор решил быстро «пощупать» код — без песочницы, без Docker. Но перед запуском автор спохватился и задал простой вопрос своему AI-ассистенту (Cursor): «Проверь этот код на подозрительные активности: чтение файлов, доступ к криптокошелькам и т. п.»

И отлично сделал, так как внутри кода в массиве был закодирован скрытый URL, по адресу которого скачивался вредоносный пейлоад. При запуске кода злоумышленники получили бы доступ к: кошелькам, файлам, переменным окружения, базам данных.

💬 Данная история нам напоминает, что в цифровой среде опасность может быть где угодно. Используйте эти правила, они не будут лишними:

1️⃣ Всегда используйте песочницу. Docker, VM, WSL - любой изолированный запуск. Никогда не тестируйте чужой код на основной машине.

2️⃣ Сканируйте код перед запуском. Даже 30-секундный запрос к AI-ассистенту («Есть ли здесь подозрительные паттерны?») может спасти ваши данные.

3️⃣ Верифицируйте всё. Реальный профиль ≠ реальный человек. Реальная компания ≠ реальное предложение. Проверяйте домены, почту, контакты.

4️⃣ Доверяйте интуиции. Если вас торопят, давят дедлайном или просят «просто запустить и посмотреть» — это красный флаг 🚩

5️⃣ Обфускация — признак угрозы. Массивы байтов, eval(), new Function(), динамические импорты без явной необходимости — повод остановить и перепроверить.

📖 InfoSec Context