Así que alguien te contacta en LinkedIn con una prometedora oportunidad laboral. Suena bien, ¿verdad? Parecen legítimos (después de revisarlos durante 1 minuto) y tras una breve conversación te envían un repositorio de GitHub con una "tarea de reclutamiento" simple en Next.js. Lo clonas, lo ejecutas... y 10 minutos después, tu dispositivo está completamente comprometido al descubrir que tus billeteras calientes han sido drenadas. Bien, ¿qué pasó? Dado el hecho de que nosotros (= SEAL 911) hemos visto este ataque una y otra vez, déjame revelar algunos de los detalles más importantes: - primero, la advertencia más importante: NO ejecutes código aleatorio que te envíe un tipo cualquiera. Honestamente, no lo hagas. - siempre revisa minuciosamente los archivos de configuración _ejecutables_ de los repositorios. En este caso particular, el archivo `next.config.js` tenía un gran relleno ocultando la carga maliciosa muy a la derecha. - siempre desplázate horizontalmente: solo porque no veas nada malicioso al mirar el contenido no significa que esté limpio. Importante: El código malicioso puede estar oculto dentro de archivos en los que confías, solo que no donde lo esperas. Realmente espero que este tweet llegue a suficiente gente para prevenir al menos a algunas futuras víctimas de caer en este tipo de ataque.