В конце февраля 2026 г. исследователи безопасности обнаружили крупную координированную кампанию, направленную на разработчиков программного обеспечения. Злоумышленники создают фальшивые репозитории под видом реальных Next.js проектов или заданий для собеседований, чтобы обманом заставить разработчиков запускать вредоносный код и получить контроль над их устройствами.
Как работает атака
Атака основана не на прямом взломе уязвимости в самом Next.js, а на социальной инженирии и злоупотреблении доверием разработчиков к внешнему коду:
Злоумышленники размещают на популярных платформах (например, GitHub или Bitbucket) репозитории, выдавая их за проекты с тестовыми заданиями или техническими оценками, которые якобы нужны для собеседования или найма.
Такие репозитории могут иметь названия, похожие на реальные проекты, или выглядеть как стандартные шаблоны приложений Next.js, что повышает шанс, что разработчик их откроет и запустит.
Как только разработчик клонирует репозиторий и выполняет привычные команды вроде установки зависимостей или запуска сервера разработки (
npm run dev), скрытый вредоносный код начинает работать.
После запуска код может загружать дополнительные модули по сети, выполнять их в памяти и устанавливать постоянный канал связи с управляющими серверами атакующих так называемый command-and-control (C2) канал.
Техники скрытности и встроенные триггеры
Исследователи Microsoft Defender описали несколько способов, которыми злоумышленники маскируют и активируют вредоносный код:
Автоматизация в Visual Studio Code - за счёт файла
.vscode/tasks.jsonпроект может автоматически запускать вредоносные задачи, как только разработчик открыл рабочую область и пометил ее trusted.Код, встроенный в обычные библиотеки - вредоносная логика может быть спрятана прямо в JavaScript-файлах, которые запускаются при стандартной разработке.
Старт приложения - вредоносный код может срабатывать при запуске сервера, собирая переменные окружения и отправляя их на сторонние ресурсы, а затем выполняя дальнейшие команды из сети.
Злоумышленники таким образом минимизируют следы на диске когда код выполняется в оперативной памяти, а не сохраняется в виде очевидных исполняемых файлов.
Разработческие машины особенно ценны для злоумышленников:
На них часто хранятся ключи доступа к облачным сервисам, исходный код, конфиденциальные переменные окружения и другие данные, которые позволяют атакующему перейти к инфраструктуре компании.
Контроль над персональной машиной разработчика может служить входной точкой во внутреннюю сеть или цепочку поставок программного обеспечения.
Кроме того, подобные кампании уже связывают с более масштабными операциями по подмене заданий для собеседований и распространению бэкдоров, которые предыдущие исследователи относили к активности, ассоциируемой с государственными группами.
Как защититься
Эксперты по безопасности дают следующие рекомендации:
Проверяйте репозитории перед запуском - особенно если они получены из сообщения о вакансии или от незнакомого человека/компании.
Используйте функции безопасности IDE, такие как доверенные рабочие области в VS Code, чтобы предотвратить автоматическое выполнение задач при открытии проекта.
Мониторьте подозрительную активность Node.js процессов, включая необычные сетевые подключения.
Ограничивайте уровень доверия к внешнему коду, предпочитая запускать его в изолированных контейнерах или песочницах при необходимости.
Интегрируйте защиту цепочки поставок и анализ исходного кода в свои процессы DevSecOps.
Источинк: HN