Тож хтось зв'язується з вами в LinkedIn з перспективною можливістю працевлаштування. Звучить приємно, інніт? Вони здаються законними (після перевірки протягом 1 хв) і після короткого конвою вони надсилають вам репозиторій GitHub з простим Next.js "завдання з рекрутингу". Ти його клонуєш, запускаєш... А через 10 хвилин ваш пристрій буде повністю скомпрометовано, оскільки ви дізнаєтеся, що ваші гарячі гаманці були розряджені. Гаразд, що сталося? Враховуючи той факт, що ми (= SEAL 911) бачили цю атаку знову і знову, дозвольте мені розкрити деякі з найважливіших деталей: - перше, найголовніше застереження: НЕ запускайте випадковий код, який вам надіслав якийсь випадковий чувак. Чесно кажучи, бл*дь, не треба. - Завжди ретельно перевіряйте файли конфігурації _executable_ репозиторіїв. У цьому конкретному випадку файл «next.config.js» мав велику відбивку, яка приховувала шкідливе корисне навантаження набагато правіше. - Завжди прокручуйте горизонтально - те, що ви не бачите нічого шкідливого, коли дивитеся на контент, не означає, що він чистий. Важливо: шкідливий код може ховатися у файлах, яким ви довіряєте, але не там, де ви його очікуєте. Я дуже сподіваюся, що цей твіт дійде до достатньої кількості людей, щоб запобігти хоча б кільком майбутнім жертвам, які попадуться на такого роду атаки.