За словами розробника, йому написав чоловік, який представився CEO проєкту у сфері medical та Web3. Після короткого спілкування кандидат отримав пропозицію перейти до наступного етапу — переглянути репозиторій із кодом перед співбесідою.
Читайте также: У 2025 році резиденти «Дія.City» cплатили податку на прибуток на 1,3 млрд грн більше
«Спілкування максимально адекватне: розпитує про досвід, каже, що підходжу, пропонує рухатись до співбесіди. Скидає репозиторій, просить передзвонитись після того, як я подивлюсь флоу проєкту. В цілому нічого незвичного, але чомусь вирішив не відкривати код „на віру“ і чекнути його з Ai-шкою», — ділиться Даніїл.
Однак замість звичайного тестового завдання в репозиторії виявився шкідливий скрипт. «Вирішив не відкривати код „на віру“ і перевірити його. І як виявилось — не дарма», — зазначив Даніїл Костюк.
Що було всередині
За його словами, один із файлів (замаскований під bootstrap.min.js) виконував підозрілі дії: декодував прихований URL; відправляв туди змінні середовища; отримував у відповідь код;і одразу виконував його локально.
Фактично це відкривало можливість віддаленого виконання будь-якого коду на комп’ютері розробника.
Читайте также: Прошивка нового покоління: як школа англійської для дітей Green Country формує майбутній ринок праці
Окрім цього, у репозиторії були й інші «мутні» мініфіковані скрипти.
Як працює схема
Ймовірно, мова йде про один із варіантів соціальної інженерії, коли зловмисники маскуються під рекрутерів або засновників стартапів і надсилають кандидатам «тестові завдання» або репозиторії.
Розрахунок — на те, що розробник запустить код локально, не перевіряючи його вміст.
Що радять розробникам
Даніїл Костюк закликає бути обережними: «Завжди перевіряйте, що ви збираєтесь запустити на своїй машині».
Серед базових рекомендацій: не запускати незнайомий код без перевірки; переглядати вміст скриптів, навіть якщо вони виглядають як стандартні бібліотеки; використовувати ізольовані середовища (sandbox, VM); звертати увагу на нетипову поведінку файлів.