Então, alguém entra em contato com você no LinkedIn com uma oportunidade de trabalho promissora. Parece bom, não é? Eles parecem legítimos (depois de verificá-los por 1 minuto) e depois de uma breve conversa, eles enviam um repositório GitHub com uma simples Next.js "tarefa de recrutamento". Você clona, executa ... E 10 minutos depois, seu dispositivo está totalmente comprometido quando você descobre que suas carteiras quentes foram drenadas. Ok, o que aconteceu? Dado o fato de que nós (= SEAL 911) vimos esse ataque repetidamente, deixe-me divulgar alguns dos detalhes mais importantes: - primeiro, a ressalva mais importante: NÃO execute um código aleatório que algum cara aleatório lhe enviou. Honestamente, não. - Verifique sempre os arquivos de configuração _executáveis_ dos repositórios completamente. Nesse caso específico, o arquivo 'next.config.js' tinha um grande preenchimento que escondia a carga maliciosa bem à direita. - Sempre role horizontalmente - só porque você não vê nada malicioso quando olha para o conteúdo, não significa que esteja limpo. Importante: o código malicioso pode estar oculto nos arquivos confiáveis, mas não onde você espera. Eu realmente espero que este tweet alcance pessoas suficientes para evitar que pelo menos algumas vítimas futuras caiam nesse tipo de ataque.