Então alguém te contacta no LinkedIn com uma oportunidade de emprego promissora. Parece bom, não é? Eles parecem legítimos (depois de os verificar por 1 min) e após uma breve conversa, enviam-te um repositório do GitHub com uma "tarefa de recrutamento" simples em Next.js. Tu clonas, executas... e 10 minutos depois, o teu dispositivo está totalmente comprometido ao descobrires que as tuas carteiras quentes foram drenadas. Ok, o que aconteceu? Dado o fato de que nós (= SEAL 911) já vimos este ataque repetidamente, deixe-me revelar alguns dos detalhes mais importantes: - primeiro, a advertência mais importante: NÃO executes código aleatório que algum desconhecido te enviou. Honestamente, não o faças. - verifica sempre os arquivos de configuração _executáveis_ dos repositórios minuciosamente. Neste caso particular, o arquivo `next.config.js` tinha um grande preenchimento escondendo a carga maliciosa muito à direita. - sempre rola horizontalmente - só porque não vês nada malicioso quando olhas para o conteúdo, não significa que esteja limpo. Importante: Código malicioso pode estar escondido dentro de arquivos em que confias, apenas não onde esperas encontrá-lo. Espero realmente que este tweet chegue a pessoas suficientes para prevenir pelo menos algumas futuras vítimas de caírem neste tipo de ataque.