Vậy là có ai đó liên hệ với bạn trên LinkedIn với một cơ hội việc làm đầy hứa hẹn. Nghe có vẻ tốt, phải không? Họ có vẻ hợp pháp (sau khi kiểm tra họ trong 1 phút) và sau một cuộc trò chuyện ngắn, họ gửi cho bạn một repo GitHub với một "nhiệm vụ tuyển dụng" đơn giản bằng Next.js. Bạn clone nó, chạy nó… và 10 phút sau, thiết bị của bạn đã bị xâm nhập hoàn toàn khi bạn phát hiện ra rằng ví nóng của bạn đã bị rút sạch. Được rồi, chuyện gì đã xảy ra? Với thực tế rằng chúng tôi (= SEAL 911) đã thấy cuộc tấn công này lặp đi lặp lại, hãy để tôi tiết lộ một số chi tiết quan trọng nhất: - đầu tiên, điều quan trọng nhất: đừng chạy mã ngẫu nhiên mà một người lạ gửi cho bạn. Thành thật mà nói, đừng làm vậy. - luôn kiểm tra kỹ lưỡng các tệp cấu hình _có thể thực thi_ của các repo. Trong trường hợp này, tệp `next.config.js` có một khoảng đệm lớn che giấu payload độc hại ở phía bên phải. - luôn cuộn ngang - chỉ vì bạn không thấy bất kỳ điều gì độc hại khi nhìn vào nội dung không có nghĩa là nó sạch sẽ. Quan trọng: Mã độc có thể được ẩn giấu trong các tệp mà bạn tin tưởng, chỉ không ở nơi bạn mong đợi. Tôi thực sự hy vọng tweet này đến được với đủ người để ngăn ít nhất một vài nạn nhân trong tương lai không bị rơi vào loại tấn công này.