Next.js开发者最近碰到了大麻烦,遭了恶意代码库的袭击,机密信息被顺手牵羊。根据微软那边的消息,Next.js开发者这回又成了黑客的重点攻击对象。这帮人手段真脏,他们假装是合法项目的代码库来迷惑人,有些甚至已经和实际入侵事件对上了号。微软说清楚了,这些坏代码库用了不少法子在开发者机器上搞破坏,但归根到底只有一个目的:就是让机器在内存里跑恶意的JavaScript代码。研究团队发现所有执行路径都设计得很巧妙,专门在Next.js开发者正常工作时触发。比如有一种坏招数是利用Visual Studio Code的工作区自动化功能,一旦你点开项目并且信任了它,立马就会加载病毒文件。这种时候通常会有变种攻击在Vercel那里取到JavaScript加载器,用Node.js来运行,接着开始给控制端发信号请求下一步指示。还有其他路子是把开发者骗去直接运行项目的开发服务器或者用npm run dev命令来执行,这时候嵌在被篡改文件里的坏逻辑就会把加载器拉出来运行。还有一些是等受害者启动后端程序后在初始化或者导入模块时触发藏在里面的坏逻辑。不管哪条路走通,结果都是一个样:先让机器注册一下受影响的设备,然后跑JavaScript加载器跟控制端建立连接。控制器拿到初始阶段传过来的独立C2 IP地址和API集后,会去拉一个装着JavaScript任务的消息数组出来,再用一个单独的Node解释器在内存里把这些任务跑掉,这样在硬盘上就不留痕迹了。这个过程还能顺手偷数据。开发者机上的任何东西都可能遭殃,从个人信息到源码、机密或者云资源都有可能。微软还说了控制器会经常换身份标识符防止被反病毒软件和人发现可疑动静。它还会听命令停止动作、监视自己生成的进程别让受害者觉得电脑变卡了还会上报错误数据给攻击者调整失败的命令。 这些坏项目都是犯罪分子打着招聘流程的旗号发出来的。他们要求开发者做和求职申请相关的工作来骗他们下载运行代码。虽说很难想象有人会在公司电脑上做这种面试评估任务,但微软警告说这么做反而会让整个组织冒更大的风险。微软提醒防御者得把开发者的工作流当作最主要的攻击面来看待得先盯着异常的Node执行、莫名其妙的对外连接还有开发机后来上传文件或者发现的情况。 AQ1:这次主要是抓谁? A:抓Next.js开发者。他们弄了假代码库去骗这些人进去干活。 AQ2:坏代码是咋跑的? A:手段多得很:有滥用VS Code的自动化的、有让人跑npm run dev命令的、还有让人起后端服务的。最后都是在内存里跑恶意JavaScript跟控制端联网。 AQ3:他们怎么让人下载这些坏东西? A:他们说是招聘流程的一部分骗人家说是面试评估任务让人做求职申请的工作来拉人家上钩去运行病毒代码。