Post by Uğur Turna

Senior .NET Developer | Microservices | High-Scale Systems | B2C B2B | E-Commerce | FinTech / Crypto Experience

Yazılımcılar için küçük bir güvenlik hatırlatması. Kendisini Çok büyük bir şirket çalışanı olarak tanıtan ve yaklaşık 28 bin takipçili bir LinkedIn hesabı kullanan bir kişi tarafından bir Node.js projesini incelemem istendi. İnceleme sırasında, projenin çalıştırılmasıyla birlikte ortam değişkenlerini (env variables/meta-mask auth vs) toplayıp harici bir vercel-app'e göndermeye çalışan kodlar fark ettim. Hesabın gerçekten ilgili kişiye ait olup olmadığını veya ele geçirilip geçirilmediğini bilmiyorum. Ancak bu olay, profesyonel görünen bir profilin veya yüksek takipçi sayısının güvenlik açısından bir garanti olmadığını bir kez daha gösterdi. Bilmediğiniz kodları çalıştırmadan önce mutlaka inceleyin. ----------------------------------------------------------- I was recently contacted by someone claiming to work at Big Company, using a LinkedIn account with roughly 28k followers, and was asked to review a Node.js project. During my review, I noticed code that appeared to collect local environment variables(meta-mask auth etc.) and send them to an external vercel-app endpoint when the project was installed or started. I cannot verify whether the account belongs to the real person or if it has been compromised. However, this is a good reminder that a professional profile, company affiliation, or large follower count should never replace code review. Never run unfamiliar code blindly. Review package scripts, startup code, and network requests first. Thanks to my friend HT S. who performed the review and shared his experiences. #CyberSecurity #NodeJS #InfoSec #SupplyChainSecurity #net #crypto