所以，有人通过 LinkedIn 联系你，提供一个有前景的工作机会。听起来不错，对吧？他们看起来很靠谱（经过 1 分钟的检查后），在简短的对话后，他们给你发送了一个 GitHub 仓库，里面有一个简单的 Next.js "招聘任务"。你克隆了它，运行它……10 分钟后，你的设备完全被攻陷，因为你发现你的热钱包被清空了。好吧，发生了什么？考虑到我们（= SEAL 911）已经看到这种攻击多次，让我披露一些最重要的细节： - 首先，最重要的警告：不要运行某个随机家伙发给你的随机代码。老实说，真的不要。 - 始终仔细检查仓库的 _可执行_ 配置文件。在这个特定的案例中，`next.config.js` 文件有一个很大的填充，隐藏了恶意负载，远在右侧。 - 始终横向滚动 - 仅仅因为你在查看内容时没有看到任何恶意内容，并不意味着它是干净的。 重要提示：恶意代码可以隐藏在你信任的文件中，只是不在你预期的地方。 我真的希望这条推文能传达到足够多的人，以防止至少一些未来的受害者陷入这种攻击。