Så noen kontakter deg på LinkedIn med en lovende jobbmulighet. Høres fint ut, ikke sant? De virker legitime (etter å ha sjekket dem i 1 min), og etter en kort samtale sender de deg en GitHub-repo med en enkel Next.js "rekrutteringsoppgave". Du kloner den, kjører den ... og 10 minutter senere er enheten din fullstendig kompromittert når du finner ut at de varme lommebøkene dine ble tømt. Ok, hva skjedde? Gitt det faktum at vi (= SEAL 911) har sett dette angrepet om og om igjen, la meg avsløre noen av de viktigste detaljene: - først, det viktigste forbeholdet: IKKE kjør tilfeldig kode som en tilfeldig fyr sendte deg. Ærlig talt, faen ikke. - Sjekk alltid de _kjørbare_ konfigurasjonsfilene til repositoriene grundig. I dette spesielle tilfellet hadde 'next.config.js'-filen en stor polstring som skjulte den ondsinnede nyttelasten langt til høyre. - Rull alltid horisontalt – bare fordi du ikke ser noe ondsinnet når du ser på innholdet, betyr det ikke at det er rent. Viktig: Skadelig kode kan skjules i filer du stoler på, bare ikke der du forventer det. Jeg håper virkelig denne tweeten når nok mennesker til å forhindre at i det minste noen få fremtidige ofre faller for denne typen angrep.