Support us

Айтишникам присылают тестовое, которое крадёт их пароли и деньги. «Северокорейцы любят такие темки»

Фронтенд-разработчик рассказал в линкедине, как обнаружил в тестовом задании «бомбу».

3 комментария
Айтишникам присылают тестовое, которое крадёт их пароли и деньги. «Северокорейцы любят такие темки»

Фронтенд-разработчик рассказал в линкедине, как обнаружил в тестовом задании «бомбу».

В комментариях пишут, что такое в последнее время не редкость

— Слышал о таком трюке ранее, вот и довелось лицезреть самому: «эйчар» написал в LinkedIn, предложил пройти тестовое. После инвайта в репозиторий предложил пофиксить ошибки, которые обнаружу. На всё 30 минут (жертва должна торопиться — на это и расчёт).

Проект ничем не примечателен — набросали с помощью нейросети (привет вайб-кодерам). Но «пасхалка» была в конфиге Tailwind. На 900+ стоке лежала обфусцированная IIFE-функция, которая с помощью ноды (при запуске проекта, разумеется), пытается украсть данные криптокошельков/браузеров/пароли (приложения Passwords, если система определена как MacOS), — рассказал топикстартер.

Далее «мораль» от автора — никогда не стоит «запускать незнакомые проекты вне песочницы и без предварительного аудита, что там вообще в проекте».

Под постом — почти 60 комментариев. И как оказалось — многие сталкивались с подобным.

— В моём случае все было немного хитрее, вредоносный код запрашивался с CDN в виде строки и передавался затем на исполнение в Eval-функцию, — написал один из пользователей.

Два человека поделились, что у них так увели деньги с криптокошельков: у одного — 5000 UDT, у другого 10 ETH, и теперь он «хранит сбережения только на самописном кошельке». У третьего просто украли данные — пока без последствий для него.

Похожие «заминированные» тестовые получали не только разработчики, но и дизайнеры: 

— Присылали мне похожее. Уговаривали: «Ну, разверните проект! Или попросите друзей». Ха-ха, после моего ответа, зачем мне тестовое не по моему стеку и вообще направлению — слились, — написала UX/UI-дизайнер. Подробнее, кстати, девушка рассказывала у себя в линкедине. Тестовое было для разработчиков — и «эйчар» уговаривал её распаковать его, просто чтобы «быть в курсе проекта». 

К своему посту девушка прикрепила ещё один — от пострадавшего разработчика. И история там точь-в-точь как у топикстартера. Пришёл эйчар с заманчивым предложением, затем добавил в Slack и дал тестовое на 60 минут. Разработчик потратил 40 минут на настройку проекта и выполнение миграций, задачи решил за 15 — и очень удивился тому, что они были такими простыми. Лишь после он заметил, что на его компьютере «работают Python-скрипты, которых там быть не должно было». А вывод в своём посте молодой человек сделал похожий: нужно работать на виртуальной машине или использовать контейнеры при работе над тестовыми из неизвестных источников. 

Под постом, кстати, обсуждают и то, кто же так лихо добывает данные разработчиков. Топикстартер называет их «северокорейскими хакерами».

— Там ещё был инвайт в Slack с инфой в азиатских иероглифах. А северокорейцы как раз любят такие темки. Правда, язык скорее японский — но кто будет в операциях использовать родной? — поясняет свои догадки разработчик. 

И конечно, пользователи спрашивают, а как удалось обнаружить «бомбу». Он ответил, что всегда с настороженностью подходит к чужим документам и проектам, «не ставит локально» — и всегда сначала проверяет в докере. В данном случае «простейшее ls-lh в корне проекта показало аномалию в размере файла конфига tailwind».

Другой пользователь поделился: он код с архивом в похожем случае «закинул в VirusTotal» на проверку. «Что интересно: через некоторое время я ещё раз закинул — и больше антивирусов стало показывать троян, похоже, мне какой-то самопис отправляли». 

«Поклялся себе больше тестовые не делать». Крик души по поводу ИТ-собеседований
«Поклялся себе больше тестовые не делать». Крик души по поводу ИТ-собеседований
По теме
«Поклялся себе больше тестовые не делать». Крик души по поводу ИТ-собеседований
Потратил сутки — а пригласить не готовы. Как компании используют тестовое кандидатов
Потратил сутки — а пригласить не готовы. Как компании используют тестовое кандидатов
По теме
Потратил сутки — а пригласить не готовы. Как компании используют тестовое кандидатов
Читайте также
Польский МИД отписался про визы: виноват спрос. Посредника мониторят
Польский МИД отписался про визы: виноват спрос. Посредника мониторят
Польский МИД отписался про визы: виноват спрос. Посредника мониторят
МИД ответил на петицию про недостатки в работе визовых центров VFS Global Services в Беларуси. Говорит, все под контролем, просто слишком много желающих.
1 комментарий
Команде Maxbit (туда пришли силовики) дадут 1600 рублей вместо зп. И есть условие
Команде Maxbit (туда пришли силовики) дадут 1600 рублей вместо зп. И есть условие
Команде Maxbit (туда пришли силовики) дадут 1600 рублей вместо зп. И есть условие
Минские офисы Maxbitsolution закрыты. Как минимум часть команды еще не получила зарплату. 
27 комментариев
Есть новая проблема. Как дела у ждунов польской визы
Есть новая проблема. Как дела у ждунов польской визы
Есть новая проблема. Как дела у ждунов польской визы
Уже третью неделю система записи на получение VFS работает по-новому. Сначала был хаос. Наладилось?
2 комментария
«Это другое». Почему ING отказался рефинансировать ипотеку для семьи беларусов
«Это другое». Почему ING отказался рефинансировать ипотеку для семьи беларусов
«Это другое». Почему ING отказался рефинансировать ипотеку для семьи беларусов
Семья беларусов хотела рефинансировать ипотеку в Польше по выгодной ставке, но все это вылилось в семь недель ожидания, потерю выгодных условий и бюрократический тупик. Историю рассказывает Złoty Dzik.
2 комментария

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

2

Ну, получается, с тестовым не все справились раз security breach не нашли сходу.

0

Для этого в Safari профили придумали. Раздельные папочки, в своей песочнице. Это для MacOS. И спереть из другого профиля ничего будет нельзя.
Если, конечно, чей-то отечественный руткит не поломал сисурити. Поэтому сначала обновляем Bridge OS из режима DFU, и только потом ставим систему "по интернету из рекавери". Для корпоративных ПК только JAMF и им подобные.

Пользователь отредактировал комментарий 23 апреля 2025, 15:55

Anonymous
Anonymous
0

Таки лучше, чем британские рекрутеры. Хоть какие-то навыки проверяют.