Зловредни Next.js хранилища атакуват разработчици чрез фалшиви проекти за наемане
Координирана кампания атакува софтуерни разработчици чрез компрометирани Next.js хранилища, маскирани като технически задания и проекти, свързани с кандидатстване за работа.
Операцията разчита на социално инженерство, а не на класическа експлоатация на уязвимости. Разработчиците са примамвани да клонират и стартират проект, който изглежда легитимен. След изпълнение кодът установява изходяща комуникация към инфраструктура, контролирана от атакуващите, предоставяйки им отдалечен достъп.
Как работи кампанията
Атаката е разкрита след засичане на подозрителни изходящи връзки, инициирани от Node.js процеси на машини на разработчици.
Разследването проследява активността до зловредни хранилища, публикувани в публични платформи за код. Те имитират легитимна структура на проект и използват сходни наименования като:
Cryptan
RoyalJapan
JP-soccer
SettleMint
варианти demo, master, platform, server
Хранилищата споделят сходна логика на зареждане и изпълнение, което показва координирана инфраструктура.
Три пътя на изпълнение – един резултат
Въпреки че методите на задействане са различни, всички пътища водят до извличане и изпълнение на JavaScript код, контролиран от атакуващите, по време на runtime.
1. Злоупотреба с VS Code Workspace
Когато разработчик отвори проекта и се довери на папката, предварително конфигуриран tasks.json файл задейства автоматично изпълнение на Node.js скрипт.
Скриптът изтегля отдалечен loader и започва комуникация с command-and-control инфраструктура.
2. Задействане чрез npm run dev
При стартиране на development сървъра се изпълняват модифицирани frontend файлове, които декодират скрит URL адрес и изтеглят същия зловреден loader.
3. Инжектиране при стартиране на backend
При инициализация на сървъра скрита логика извлича кодирани endpoints от конфигурационни файлове, изпраща environment променливите – включително API ключове и токени – към атакуващия и изпълнява отдалечен payload.
Независимо от входната точка, резултатът включва:
Профилиране на системата
Периодично beaconing към C2
Отдалечено изпълнение на задачи
Събиране и ексфилтрация на файлове
Защо машините на разработчиците са високоценна цел
Работните станции на разработчици често съдържат:
Изходен код
Cloud API ключове
Environment тайни
Данни за достъп до бази
CI/CD токени
Компрометирането на една машина на разработчик често е пряк път към компрометиране на цялата организация.
Това е supply-chain преместване на фокуса. Вместо директна атака срещу продукционната среда, атакуващите се внедряват в development процеса.
DIAMATIX Перспектива
Тази кампания показва тенденция: изпълнение, което се слива с нормалния работен процес.
Атаката не експлоатира уязвимост в Next.js. Тя експлоатира доверие.
Когато зловредна логика е внедрена в на пръв поглед нормална структура на проект, традиционните защитни механизми може да не задействат аларми.
Контролите следва да се фокусират върху:
Ограничаване на автоматичното изпълнение в workspace
Наблюдение на необичайни Node.js изходящи връзки
Строга автентикация за developer акаунти
Премахване на продукционни тайни от локални машини
Прилагане на attack surface reduction правила
Supply-chain рискът вече включва хранилища, които изглеждат безобидни.
Development средата е част от атакуваната повърхност.
Препоръчителни действия
Организациите следва да:
Активират Visual Studio Code Workspace Trust и Restricted Mode
Наблюдават мрежовата активност на Node.js процеси
Въведат conditional access за developer идентичности
Прилагат строга политика за управление на тайни и ротация на ключове
Валидират външни хранилища преди изпълнение
Екипите по сигурност трябва да третират непроверените хранилища като потенциален вектор за изпълнение на код.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
