Also kontaktiert dich jemand auf LinkedIn mit einer vielversprechenden Jobmöglichkeit. Klingt gut, oder? Sie scheinen legitim zu sein (nachdem du sie 1 Minute lang überprüft hast) und nach einigem kurzen Gespräch senden sie dir ein GitHub-Repo mit einer einfachen Next.js "Rekrutierungsaufgabe". Du klonst es, führst es aus... und 10 Minuten später ist dein Gerät vollständig kompromittiert, als du feststellst, dass deine Hot Wallets leergeräumt wurden. Ok, was ist passiert? Angesichts der Tatsache, dass wir (= SEAL 911) diesen Angriff immer wieder gesehen haben, lass mich einige der wichtigsten Details offenlegen: - Erstens, der wichtigste Hinweis: Führe NICHT zufälligen Code aus, den dir irgendein Typ geschickt hat. Ehrlich, mach das verdammte nicht. - Überprüfe immer die _ausführbaren_ Konfigurationsdateien der Repos gründlich. In diesem speziellen Fall hatte die `next.config.js`-Datei eine große Polsterung, die die bösartige Nutzlast weit nach rechts versteckte. - Scrolle immer horizontal - nur weil du beim Blick auf den Inhalt nichts Bösartiges siehst, bedeutet das nicht, dass es sauber ist. Wichtig: Bösartiger Code kann in Dateien versteckt sein, denen du vertraust, nur nicht dort, wo du es erwartest. Ich hoffe wirklich, dass dieser Tweet genug Menschen erreicht, um zumindest einige zukünftige Opfer davon abzuhalten, auf diese Art von Angriff hereinzufallen.