Dus iemand neemt contact met je op via LinkedIn met een veelbelovende baan. Klinkt leuk, toch? Ze lijken legitiem (na ze 1 minuut te hebben gecontroleerd) en na een kort gesprek sturen ze je een GitHub-repo met een eenvoudige Next.js "wervingsopdracht". Je kloont het, draait het... en 10 minuten later is je apparaat volledig gecompromitteerd omdat je ontdekt dat je hot wallets zijn leeggehaald. Oké, wat is er gebeurd? Gezien het feit dat wij (= SEAL 911) deze aanval keer op keer hebben gezien, laat me enkele van de belangrijkste details onthullen: - ten eerste, de belangrijkste waarschuwing: voer GEEN willekeurige code uit die een willekeurige kerel je heeft gestuurd. Eerlijk gezegd, doe het gewoon niet. - controleer altijd de _uitvoerbare_ configuratiebestanden van de repos grondig. In dit specifieke geval had het `next.config.js`-bestand een grote padding die de kwaadaardige payload ver naar rechts verstopte. - scroll altijd horizontaal - alleen omdat je niets kwaadaardigs ziet als je naar de inhoud kijkt, betekent niet dat het schoon is. Belangrijk: Kwaadaardige code kan verborgen zijn binnen bestanden die je vertrouwt, gewoon niet waar je het verwacht. Ik hoop echt dat deze tweet genoeg mensen bereikt om tenminste een paar toekomstige slachtoffers te voorkomen van dit soort aanvallen.