КІБЕРБЕЗ | 🏻 Шкідливе ПЗ під час технічної співбесіди — нова схема шахрайстваПід ...

🥷🏻 Шкідливе ПЗ під час технічної співбесіди — нова схема шахрайстваПід час фальшивої співбесіди попросили встановити шкідливе програмне забезпечення. За останній місяць автор отримав дві такі пропозиції роботи технічним консультантом, але обидві виявилися фейковими. Обидві мали схожий сценарій. Роботодавці зв’язувалися з ним через LinkedIn, запрошували до своєї команди на посаду технічного консультанта. Потім вони ділилися посиланням на свій репозиторій з кодом — навіть не попросивши автора підписати угоду про нерозголошення та не додавши його до своєї організації.Далі просили протестувати код, де сама лише команда "npm install" могла б запустити шкідливе ПЗ. Після того як автор виявив підміну, роботодавці його одразу заблокували в LinkedIn. Також можуть писати у різні месенджери, наприклад Telegram або на фріланс-платформах, з проханням перевірити/виправити код.Рекомендації від автора статті, як запобігти таким шахрайствам: - Ніхто не публікує свій репозиторій коду публічно, хіба що він призначений для використання з відкритим вихідним кодом.- Якщо він з відкритим вихідним кодом, ви побачите змістовну активність — зірки, форки, учасників.- Ніхто не ділиться своїм приватним репозиторієм коду без угоди про нерозголошення. Оскільки підписання угоди про нерозголошення є повільним процесом, шахрайство стає складним для виконання.- Ніколи не виконуйте npm install на своєму персональному комп'ютері до другої розмови.- Якщо вам потрібно npm install — використайте віртуальну машину в хмарі.- Запускайте тестові завдання та код від незнайомих компаній лише в ізольованому середовищі типу пісочниці.- Якщо є питання по коду — найприскіпливіше в питаннях безпеки перевіряє ШІ Claude. #безпека