Владислав отримав технічне тестове через репозиторій на GitHub. Йому пропонували виконати кілька завдань, а саме: перевірити працездатність бекенду, додати сторінку авторизації, а також виправити частину з графіком web3 на сторінці дашборду.
Читайте также: У Steam вийшла українська нуарна новела Detective INNA DUKE
Перед запуском айтівець провів перевірку безпеки коду та виявив патерни, що нагадували шкідливий софт і могли призвести до віддаленого доступу до системи або викрасти токени/секрети. Про свої знахідки він повідомив роботодавця.
«Під час перевірки репозиторію перед запуском я виявив кілька критичних проблем із безпекою, які заважають мені безпечно запустити його на моїй локальній машині. Зокрема, я знайшов патерни, еквівалентні поведінці віддаленого виконання коду (dynamic remote fetch + eval execution), небезпечну конструкцію коду під час виконання, підозрілу конфігурацію залежностей, а також закомічені секрети всередині репозиторію», — написав Владислав.
Після того, як розробник відмовився запускати проєкт локально, його просто заблокували.
Читайте также: У європейської альтернативи Microsoft Office — Euro-Office — виявили російський слід: ось що показує код
Для перевірки коду Владислав використовував штучний інтелект.
У коментарях до його допису один із розробників зауважив, що подібні випадки трапляються доволі часто, а для запуску незнайомих проєктів безпечніше використовувати локальну віртуальну машину або одноразове хмарне середовище, оскільки навіть із контейнерів Docker чи Podman інколи вдається вирватися. Він також висловив думку, що ШІ може допомагати з аналізом коду, але лише питання часу, коли зловмисники почнуть навмисно перевантажувати контекст сотнями заплутаних файлів, щоб ускладнити виявлення небезпечних фрагментів.
У кінці допису Владислав нагадав колегам: «Не запускайте незнайомі репозиторії без аналізу. Сьогодні „тестове завдання“ може коштувати вам дуже дорого».
Читайте также: Український виробник РЕБ систем Unwave отримав нового CEO. Компанію очолить Тарас Бублик