Новий вигляд скаму на співбесідах. Будьте обережні!

Вітаю. З вами Артур! І сьогодні я читнув на LinkedIn пост який вартує уваги — оригінальний пост тут.

У чому суть: хлопцю надіслали тестове завдання — треба було запустити сервер і виконати певну задачу. При запуску сервер не показував логів. Він помітив, що один модуль був підключений доволі дивно (код підключення був захований купою відступів, щоб його не було видно у файловому провіднику VSCode).

Файлік виглядав отак

Деталі файліку можете глянути у оригінальному пості тут. Проаналізувавши, чувак поняв, що файлик збирав інформацію з комп’ютера та надсилав її на IP-адресу. З усього видно, що дані, які намагалися викрасти, були пов’язані з криптогаманцями.

Офігеть? Офігеть! Перший раз таке бачу. Тому будьте обережні навіть на співбесідах. 😱

Який урок нам:

  1. Перевіряти код перед запуском: аналізувати проєкт, особливо скрипти в кореневих файлах, прихованих папках або модулях.
  2. Юзати ізольоване середовище: ранити код у віртуальних машинах (VirtualBox, VMware або Hyper-V) або Docker(шось по тіпу docker run --rm -it -v $(pwd):/app -w /app node:latest bash) , щоб уникнути доступу до реальних даних на вашому комп’ютері.
  3. Як варіант можна заюзати окремий обліковий запис. Якщо ви не хочете налаштовувати VM, можна зробити окремий обліковий запис користувача на своєму компі з мінімальними правами доступу.
  4. Скануйвати репо: інструменти для аналізу шкідливого коду, можуть допомогти тут вам.
  5. Аналізувати приховані файлів: все шо починається «.», можуть бути прихованими в IDE. Можна включити відображення прихованих файлів, щоб нічого не пропустити.
  6. Перевіряти залежності: чекніть package.json, requirements.txt, або інші файли залежностей на наявність підозрілих бібліотек
  7. Обфускований код: непрозорий код (наприклад, довгі рядки без коментарів, мінімізовані або обфусковані скрипти) від невідомих людей, це привід для додаткової перевірки
  8. Підозрілі IP-адреси або домени в коді це червоний прапорець.

Що думаєте з цього кейсу? Які ще додаткові сценарії захисту можете придумати? :)

P.S. Всім гарного дня та буду радий бачити вас у своєму телеграм-бложику групі, там про розробку та тестування!

👍ПодобаєтьсяСподобалось22
До обраногоВ обраному3
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Ось чому треба сетати show whitespaces :)

Дофіга зараз такого... Навіть присилил сервер який спам шле поки ти тестове робиш :)

шось по тіпу docker run —rm -it -v $(pwd):/app -w /app node:latest bash

тільки щоб тут $PWD не був / або /root/
:)
краще взагалі не запускати нічого і крапка, якщо немає специфічних знань

От прихильники мака які все запускають локально і присіли.
Треба все робити на ресурсах замоника

HR-менеджмент дуже стрьомний в наших краях! Нещодавно одна hr-я вимагала телефон (ніби-то для їх замовника, котрий хоче спілкуватись ’по телефону’ та буде телефонувати, коли заманеться, без попередження). Я їй кажу, мій телефон та інші ’персональні дані’ отримають лише після оферу. Потім вона зникла взагалі (зрозуміло, що лохатрон!). Ніяких сканів, телефонів і т.п поки нема оферу — нах-нах!

То ти ще не стикалась з індорекрутерами, яки тобі починають дзвонити десь о сьомй ранку раз по пять, та вимиагають копію паспорту, візи та SSN. Коли питаєш навіщо паспорт і SSN, перепитують чи потрібна робота, а потім кидають слухалку.

саме пiсля цього я прибрав номер з резюме.

Не бачу нічого поганого, щоб вказати номер телефону в резюме.
Це ще один, запасний вид зв’язку, і це буває корисно, якщо наприклад призначили співбесіду, а кандидат забув про неї, чи зник Інтернет, і рекрутер може зателефонувати та уточнити, що трапилося.

Не бачу нічого поганого, щоб вказати номер телефону в резюме.

Я теж раніше не бачив.

Це ще один, запасний вид зв’язку, і це буває корисно, якщо наприклад призначили співбесіду, а кандидат забув про неї, чи зник Інтернет, і рекрутер може зателефонувати та уточнити, що трапилося.

Так, це саме той цивілізований підхід, до якого всі ми вже звикли в Україні. І раптом — стикаєшся з абсолютно іншою парадигмою в Європах, де ринок кандидатів величезний. Тут по дефолту саме телефонують на традиційний номер, а якщо телефон не вказано, то _вимагають_ його надати, бо «мені (рекрутеру) так зручніше» — тут ринок ректутерів. І якщо телефонують поки кандидат за кермом, то очікується що кандидат десь тут же припаркується і буде відповідати. Якщо щось не склалося з дзвінком, то рекрутер вже обдзвонює n+1, n+2... n+m кандидата і йому не до вас. Також цілком може бути, що номер з якого телефонують — це якийсь шлюз, на який назад перетелефонувати не вдасться.

Підсумовуючи, звичні в наших українських реаліях google meet / zoom / ms team — в Європах у такому ж режимі просто не працюють.

Ну и пошли они куда подальше. Сталкивался с такими фирмами, обычные колл-центры, со «специалистами» не отличающими джава-скрипт от подъемного крана. Туда нормальная компания свой запрос не пошлет и нормальному специалисту там делать нечего

Я би погодився повністю, якби не той факт, що коли я ще не зрозумів що це не ґуд, мене вже захайрили на короткотерміновий проект з міграції із ставкою 190% від ринкової.
Взагалі в європах

google meet / zoom / ms team

це рідкість. Телефонують по дефолту практично всі.

Потому и 190, что короткий. Ну и телефон, потому что никакого «вливания в коллектив».

Європейські галери теж по дефолту телефонують, хоча хайрять з їхніх слів «довготерміново», і навіть чіпляються за короткотермінові проекти в резюме випитуючи чому це було так коротко.

Це правда.В мене кандидати ( поляки) кажуть, нащо писати, якщо є телефон в резюме. Якщо в ході телефонної розмови все ок, то тоді ставимо ейчар.
І ще була здивована перший час, що кандидати у Польщі, переважно, смс юзають.Умовно, написав вам смс щодо слотів на інтерв’ю.

Мені колись теж в дискорді поступався якийсь незрозумілий чувак і запропонував роботу Скинув код тестового завдання. Я не став відкривати бо вакансія на Go а там був код на JS. Аккаунт той не відповідав Можливо та ж фігня
P.s Мене не напрягло що лівий чувак пише через дискорд адже тоді я виграв один з призів на хакатоні, а у хакатона була дискорд група і там тусило багато представників різних контор

Коментар порушує правила спільноти і видалений модераторами.

Нагадало пост чи то з r/visualstudio, чи то з r/csharp, який я бачив кілька місяців тому. Користувач просив «допомоги» із запуском коду з одного репозиторію. В коді репо був powershell скрипт який мав підвантажити з сторонньої адреси та встановити невідомий плагін в VS Code.

Підписатись на коментарі