Как меня чуть не хакнули на собеседовании

А вот и мой перевод - автор статьи рассказывает о том, как едва не стал жертвой хакеров, замаскировавших атаку под обычное техническое собеседование. Всё выглядело максимально правдоподобно: сообщение от «руководителя блокачейн-направления» реальной компании, аккуратное тестовое задание на React и Node.js, ссылки на корпоративный сайт и LinkedIn-профиль с историей и сотрудниками. Но за внешней приличностью скрывался вредоносный код — обфусцированный фрагмент в проекте, который подгружал скрипт с удалённого сервера и исполнял его на машине кандидата, открывая доступ к данным и паролям.

Его выводы

Если вы разработчик и ищете работу в LinkedIn:

1. Всегда изолируйте неизвестный код. Docker-контейнеры, виртуальные машины и т.д. Никогда не запускайте его на основной машине.
2. Используйте ИИ для сканирования на предмет подозрительных шаблонов. Это займёт 30 секунд. Может спасти всю вашу цифровую жизнь.
3. Проверяйте всё. Настоящий профиль в LinkedIn не означает реального человека. Реальная компания не означает реальную возможность.
4. Доверяйте своей интуиции. Если кто-то торопит вас с выполнением кода, это тревожный сигнал.