Así que alguien se pone en contacto contigo en LinkedIn con una oportunidad de trabajo prometedora. Suena bien, ¿no? Parecen legítimos (después de verificarlos durante 1 minuto) y después de una breve conversación, te envían un repositorio de GitHub con una simple Next.js "tarea de reclutamiento". Lo clonas, lo ejecutas... Y 10 minutos después, su dispositivo está completamente comprometido cuando descubre que sus billeteras calientes se agotaron. Ok, ¿qué pasó? Dado el hecho de que nosotros (= SEAL 911) hemos visto este ataque una y otra vez, permítanme revelar algunos de los detalles más importantes: - primero, la advertencia más importante: NO ejecutes código aleatorio que algún tipo al azar te envió. Honestamente, joder, no. - Revisa siempre a fondo los archivos de configuración _ejecutables_ de los repositorios. En este caso en particular, el archivo 'next.config.js' tenía un gran relleno que ocultaba la carga maliciosa muy a la derecha. - Desplácese siempre horizontalmente: el hecho de que no vea nada malicioso cuando mire el contenido no significa que esté limpio. Importante: El código malicioso puede estar oculto en los archivos en los que confías, pero no donde lo esperas. Realmente espero que este tuit llegue a suficientes personas para evitar que al menos algunas víctimas futuras caigan en este tipo de ataques.