Завдання з пасткою: розробник розповів, як його намагались хакнути через тестове

Існує чимало шахрайських схем, у межах яких зловмисники видають себе за рекрутерів і намагаються отримати доступ у тому числі й до особистих даних пошукачів. Та чи знали ви, що шкідливий скрипт може «ховатися» просто в тестовому завданні? Досвідом того, як його намагалися хакнути саме в такий спосіб, поділився Full Stack Developer Артем Чеховськой.

Full Stack Developer Артем Чеховськой розповів про спробу хакінгу через тестове завдання. Фото: Depositphotos

«Історія така – додається рекрутер, відразу пише полотно тексту, кидає гугл док з описом проєкту. Проєкт звичайний, а от зарплати – за того ж бекенд-розробника пропонують $70-100 на годину (?). Насторожуюсь, але стає цікаво, в чому підступ», – написав розробник в LinkedIn.

Артем розповів, що в документі містились завдання для фахівців різних спеціальностей, для виконання яких потрібно було завантажити репозиторій. Така вимога стосувалась і кандидатів, які потенційно подавались на посаду UX-дизайнера.

«Репозиторій великий, поверхнево не знаходжу ніяких вразливостей. Закидаю його у Cursor,Cursor AI – це інтегроване середовище розробки з вбудованим штучним інтелектом, що базується на основі Visual Studio Code. Він створений для підвищення продуктивності розробників (допомагає генерувати, редагувати та розуміти код за допомогою ШІ) прошу його просканувати і знайти точки входу для хакера. За 2 хвилини бачу: CRITICAL SECURITY WARNING – DO NOT RUN THIS CODE», – поділився Артем.

Він пояснив, що запуск репозиторію активував функцію, яка надавала сторонній людині повний контроль над системою. Відтак зловмисник отримав би можливість знайти паролі, креди до продакшн баз даних, сід-фразу до криптогаманця, збережені паролі в браузері, парсити файли.env, а також сканувати чи виконувати якісь дії на вашому CPU.

Тому Артем порадив:

• ніколи не запускати репозиторії, яким ви не довіряєте;
• якщо така потреба все ж є, то попередньо сканувати їх власноруч або ж за допомогою штучного інтелекту й після перевірки запускати тільки в окремому контейнері, щоб скрипт не зміг дістатися до вашої системи.

Читайте також: Фінансова безпека для підлітків: 5 поширених шахрайських схем і як від них уберегтися

Користувачі мережі також поділились досвідом і спостереженнями в коментарях до допису автора. Деякі з них наводимо тут, більше можна переглянути безпосередньо в LinkedIn.

• «Вітаю, використовуй віртуальні машинки, вони ізольовані на твоєму хості. І навіть якщо хакер вийде, то потрапить у пусту пісочницю», – написав Євген Карпюк.
• «Закидувати код у Cursor і давати інструкцію його просканувати теж небезпечно через вразливість prompt injection», – зауважив Ігор Посмашний.
• «Тобто ці розумники взяли якийсь великий репозитарій і вбудували туди свою бяку? Розрахунок саме на те, що людина не буде перевіряти на вразливості», – долучився до обговорення Володимир Єфремов.
• «Кожні два місяці бачу, як хтось описує подібний фішинг», – зазначив Микола Долинський.
• «Маю 1-3 таких пропозицій на тиждень. Без дзвінка і знайомства взагалі не дивлюсь тестові зараз. А якщо готовий взятись, то пропоную або виконати в онлайн-сервісі або зробити проєкт з нуля», – поділився Олексій Шульженко.

В одному з діалогів постало питання про те, що робити, якщо людина все запустила зловмисний сценарій.

«Базово – краще перестворити всі паролі, підрубити подвійну аутентифікацію, де її не було, перевірити криптогаманці й перевести з них гроші на інші гаманці. Ще дуже бажано просканувати систему на якісь підозрілі процеси та повбивати їх. Перевірити автозапуск на підозрілі процеси. Якщо у вас були якісь доступи до сервісів компанії – повідомити компанію про інцидент», – порекомендував Артем Чеховськой.

• Нагадаємо, раніше ми писали, що таке фішинг та як захистити від нього свої особисті дані.