Итак, кто-то связывается с вами в LinkedIn с многообещающей вакансией. Звучит неплохо, не правда ли? Они кажутся легитимными (после проверки их в течение 1 минуты), и после короткого разговора они отправляют вам репозиторий GitHub с простой "задачей по найму" на Next.js. Вы клонируете его, запускаете... и через 10 минут ваше устройство полностью скомпрометировано, так как вы обнаруживаете, что ваши горячие кошельки были опустошены. Хорошо, что произошло? Учитывая тот факт, что мы (= SEAL 911) видели эту атаку снова и снова, позвольте мне раскрыть некоторые из самых важных деталей: - во-первых, самое важное предостережение: не запускайте случайный код, который вам прислал какой-то случайный человек. Честно, черт возьми, не делайте этого. - всегда тщательно проверяйте _исполняемые_ конфигурационные файлы репозиториев. В данном конкретном случае файл `next.config.js` имел большую подложку, скрывающую вредоносный код далеко вправо. - всегда прокручивайте горизонтально - просто потому, что вы не видите ничего вредоносного, когда смотрите на содержимое, не означает, что оно чистое. Важно: Вредоносный код может быть скрыт в файлах, которым вы доверяете, просто не там, где вы его ожидаете. Я действительно надеюсь, что этот твит достигнет достаточного количества людей, чтобы предотвратить хотя бы несколько будущих жертв от того, чтобы стать жертвами этой атаки.