Quindi qualcuno ti contatta su LinkedIn con un'opportunità di lavoro promettente. Sembra bello, vero? Sembrano legittimi (dopo averli controllati per 1 minuto) e dopo una breve conversazione ti inviano un repository GitHub con un semplice "compito di reclutamento" in Next.js. Lo cloni, lo esegui... e 10 minuti dopo, il tuo dispositivo è completamente compromesso quando scopri che i tuoi portafogli caldi sono stati svuotati. Ok, cosa è successo? Dato che noi (= SEAL 911) abbiamo visto questo attacco ripetersi più e più volte, lascia che ti sveli alcuni dei dettagli più importanti: - prima di tutto, la cosa più importante: NON eseguire codice casuale che ti ha inviato un tizio a caso. Onestamente, non farlo. - controlla sempre i file di configurazione _eseguibili_ dei repository con attenzione. In questo caso particolare, il file `next.config.js` aveva un grande padding che nascondeva il payload malevolo molto a destra. - scorri sempre orizzontalmente - solo perché non vedi nulla di malevolo quando guardi il contenuto non significa che sia pulito. Importante: il codice malevolo può essere nascosto all'interno di file di cui ti fidi, proprio non dove te lo aspetti. Spero davvero che questo tweet raggiunga abbastanza persone per prevenire almeno alcune future vittime da cadere in questo tipo di attacco.