Programeri koji koriste Next.js ponovo su na meti hakera, koji kreiraju maliciozne repozitorijume maskirane kao legitimni projekti. Microsoft je upozorio da su neki od tih repozitorijuma direktno povezani sa zabeleženim kompromitacijama.
Prema izveštaju Microsoft-a, ovi repozitorijumi koriste različite metode za izvršavanje na računarima programera, ali svi dovode do istog rezultata: izvršavanje malicioznog JavaScript-a u memoriji.
Sve identifikovane putanje izvršavanja dizajnirane su da se aktiviraju tokom normalnog radnog procesa Next.js programera. Jedna od njih koristi Visual Studio Code automaciju kako bi učitala datoteke čim programer otvoriti i poveruje projektu.
U ovim slučajevima, varijante obično preuzimaju JavaScript loader sa Vercel-a i izvršavaju ga koristeći Node.js, nakon čega započinju komunikaciju sa infrastrukturom koju kontrolišu napadači.
Drugi putevi uključuju programere koji pokreću razvojni server projekta direktno ili putem npm komande, gde zloćudna logika ugrađena u trojanske resurse ili modifikovane biblioteke (kao što su izmenjeni frontend fajlovi) preuzima i izvršava loader. U nekim slučajevima, zaraženi moduli se aktiviraju prilikom pokretanja backend-a aplikacije.
Bez obzira na putanju, krajnji rezultat je uvek registrovanje pogođenog uređaja, pokretanje JavaScript loader-a i uspostavljanje veze sa C2 infrastrukturom napadača.
Kontroler koristi posebnu IP adresu C2 i API set koji su dodeljeni u prvoj fazi, preuzimajući niz JavaScript zadataka i izvršavajući ih u memoriji koristeći zaseban Node interpreter kako bi smanjio tragove na disku.
Ovaj proces omogućava i ekfiltaciju podataka. Na računarima programera, to može uključivati sve od ličnih podataka do izvornog koda, tajni ili resursa iz oblaka.
Microsoft je naglasio da je kontroler sposoban da rotira svoje identifikatore kako bi otežao identifikaciju obrazaca sumnjivih aktivnosti od strane antivirusnih rešenja i ljudskih odbrambenih snaga.
- Programeri otvorenog koda trebaju praviti pauze
- Samosaživeći crv pokreće poslednju npm opskrbnu lančanu kompromitaciju
- Programeri pišu VS Code ekstenzije koje otkrivaju tajne u velikim količinama
- AWS Lambda voli naplaćivati za vreme mirovanja: Vercel tvrdi da je pronašao način da izbegne troškove
Ovi projekti se distribuiraju od strane prevaranata pod izgovorom da su deo zapošljavanja, zahtevajući od programera da završe zadace vezane za prijave za posao.
Microsoft je upozorio da je teško zamisliti da bi ciljani programeri završavali ove zadatke na korporativnim računarima, ali da bi to moglo otvoriti organizaciju za širu kompromitaciju. Preporučuje se da se radni procesi programera tretiraju kao primarna površina napada i da se prioritetno posveti uočavanju neobičnog Node izvršenja, neočekivanih izlaznih konekcija i sličnih ponašanja sa razvojnih mašina.
