Alors, quelqu'un vous contacte sur LinkedIn avec une opportunité d'emploi prometteuse. Ça a l'air bien, non ? Ils semblent légitimes (après les avoir vérifiés pendant 1 minute) et après une courte conversation, ils vous envoient un dépôt GitHub avec une "tâche de recrutement" simple en Next.js. Vous le clonez, l'exécutez... et 10 minutes plus tard, votre appareil est complètement compromis car vous découvrez que vos portefeuilles chauds ont été vidés. D'accord, que s'est-il passé ? Étant donné que nous (= SEAL 911) avons vu cette attaque encore et encore, permettez-moi de dévoiler certains des détails les plus importants : - d'abord, le caveat le plus important : ne JAMAIS exécuter du code aléatoire qu'un inconnu vous a envoyé. Honnêtement, ne le faites pas. - vérifiez toujours les fichiers de configuration _exécutables_ des dépôts en profondeur. Dans ce cas particulier, le fichier `next.config.js` avait un grand remplissage cachant la charge malveillante très à droite. - faites toujours défiler horizontalement - juste parce que vous ne voyez rien de malveillant lorsque vous regardez le contenu ne signifie pas qu'il est propre. Important : Le code malveillant peut être caché dans des fichiers de confiance, juste pas là où vous vous y attendez. J'espère vraiment que ce tweet atteindra suffisamment de personnes pour empêcher au moins quelques futures victimes de tomber dans ce genre d'attaque.