Așa că cineva te contactează pe LinkedIn cu o oportunitate de muncă promițătoare. Sună frumos, nu-i așa? Par legitime (după ce le-am verificat timp de 1 minut) și după o scurtă conversație vă trimit un depozit GitHub cu o simplă Next.js "sarcină de recrutare". Îl clonezi, îl rulezi... Și 10 minute mai târziu, dispozitivul tău este complet compromis când afli că portofelele fierbinți au fost golite. Ok, ce s-a întâmplat? Având în vedere faptul că noi (= SEAL 911) am văzut acest atac din nou și din nou, permiteți-mi să dezvălui câteva dintre cele mai importante detalii: - în primul rând, cel mai important avertisment: NU rulați cod aleatoriu pe care ți-a trimis-o un tip aleatoriu. Sincer, al naibii nu. - verificați întotdeauna cu atenție fișierele de configurare _executabile_ ale depozitelor. În acest caz particular, fișierul "next.config.js" avea o umplutură mare care ascundea sarcina utilă rău intenționată departe în dreapta. - Derulați întotdeauna pe orizontală - doar pentru că nu vedeți nimic rău intenționat când vă uitați la conținut nu înseamnă că este curat. Important: codul rău intenționat poate fi ascuns în fișierele în care aveți încredere, dar nu acolo unde vă așteptați. Sper cu adevărat că acest tweet va ajunge la suficienți oameni pentru a preveni cel puțin câteva viitoare victime să cadă în capcana acestui tip de atac.