Więc ktoś kontaktuje się z tobą na LinkedIn z obiecującą ofertą pracy. Brzmi dobrze, prawda? Wydają się legitni (po sprawdzeniu ich przez 1 minutę) i po krótkiej rozmowie wysyłają ci repozytorium GitHub z prostym "zadaniem rekrutacyjnym" w Next.js. Klonujesz je, uruchamiasz... a 10 minut później, twoje urządzenie jest całkowicie skompromitowane, gdy odkrywasz, że twoje gorące portfele zostały opróżnione. Dobrze, co się stało? Biorąc pod uwagę fakt, że my (= SEAL 911) widzieliśmy ten atak wielokrotnie, pozwól, że ujawnię kilka najważniejszych szczegółów: - po pierwsze, najważniejsze zastrzeżenie: nie uruchamiaj losowego kodu, który wysłał ci jakiś przypadkowy gość. Szczerze, nie rób tego. - zawsze dokładnie sprawdzaj _wykonywalne_ pliki konfiguracyjne repozytoriów. W tym konkretnym przypadku plik `next.config.js` miał dużą przestrzeń, która ukrywała złośliwy ładunek daleko na prawo. - zawsze przewijaj poziomo - to, że nie widzisz nic złośliwego, gdy patrzysz na zawartość, nie oznacza, że jest czysta. Ważne: Złośliwy kod może być ukryty w plikach, którym ufasz, tylko nie tam, gdzie się go spodziewasz. Naprawdę mam nadzieję, że ten tweet dotrze do wystarczającej liczby osób, aby zapobiec przynajmniej kilku przyszłym ofiarom wpadnięcia w ten rodzaj ataku.