Så någon kontaktar dig på LinkedIn med en lovande jobbmöjlighet. Låter trevligt, eller hur? De verkar legitima (efter att ha kontrollerat dem i 1 minut) och efter några korta samtal skickar de dig en GitHub-repo med en enkel Next.js "rekryteringsuppgift". Du klonar den, kör den... Och 10 minuter senare är din enhet helt komprometterad när du får reda på att dina heta plånböcker har tömts. Ok, vad hände? Med tanke på att vi (= SEAL 911) har sett denna attack om och om igen, låt mig avslöja några av de viktigaste detaljerna: - först, den viktigaste varningen: kör INTE slumpmässig kod som någon slumpmässig snubbe skickade till dig. Ärligt talat, gör det fan inte. - Kontrollera alltid de _körbara_ konfigurationsfilerna för lagringsplatserna noggrant. I det här specifika fallet hade filen "next.config.js" en stor utfyllnad som dolde den skadliga nyttolasten långt till höger. - Rulla alltid horisontellt - bara för att du inte ser något skadligt när du tittar på innehållet betyder det inte att det är rent. Viktigt!: Skadlig kod kan döljas i filer som du litar på, men inte där du förväntar dig det. Jag hoppas verkligen att denna tweet når tillräckligt många människor för att förhindra att åtminstone några framtida offer faller för den här typen av attack.