Нова координирана кибератака е насочена към софтуерни разработчици, използвайки фалшиви репозитории, маскирани като легитимни Next.js проекти и материали за технически тестове, включително задачи, използвани при подбор на кадри. Целта на нападателите е отдалечено изпълнение на код (RCE) върху машините на разработчиците, експлоатиране на чувствителни данни и инсталиране на допълнителни зловредни компоненти на компрометираните системи.

Множество тригери за изпълнение

Next.js е популярен JavaScript framework за изграждане на уеб приложения, базиран на React с Node.js backend.
Екипът на Microsoft Defender откри, че нападателите са създали фалшиви web app проекти, които се разпространяват по време на интервюта или технически тестове.

Първоначално е идентифициран репозиторий в Bitbucket, но изследователите откриват множество репозитории със сходна структура на кода, логика за зареждане и именуване, което показва координирана кампания.

При клониране на репозитория и отваряне на проекта локално се активира зловреден JavaScript скрипт, който:

1. Изтегля допълнителен зловреден код (JavaScript бекдор) от сървъра на атакуващия.

2. Изпълнява го директно в паметта чрез Node.js процеса, позволявайки отдалечено изпълнение на код.

Вериги на инфекция

Microsoft обобщава три основни тригера за изпълнение:

• VS Code trigger – .vscode/tasks.json с runOn: "folderOpen" стартира Node скрипт при отваряне на проекта.

• Dev server trigger – при изпълнение на npm run dev се декодира скрит URL, зарежда се loader от отдалечен сървър и се изпълнява в паметта.

• Backend startup trigger – при стартиране на сървъра backend модул изпраща process.env към атакуващия и изпълнява върнат JavaScript с new Function().

Стейдж 1: JavaScript payload профилира хоста и се регистрира към командно-контролен (C2) сървър, правейки периодични заявки.
Стейдж 2: Свързва се с отделен C2 сървър, получава задачи, изпълнява JavaScript в паметта, проследява процеси и поддържа файлова екскурзия, изброяване на директории и частично извличане на файлове.

Microsoft подчертава, че структурата на кодовете и инфраструктурата за разгръщане показват координирани усилия, а не единична атака.

Препоръчани мерки за защита

Експертите съветват разработчиците да считат стандартните работни процеси за потенциално високорискови и да предприемат следните предпазни мерки:

• VS Code Workspace Trust / Restricted Mode – ограничаване на изпълнението на скриптове от непроверени проекти.

• Attack Surface Reduction (ASR) правила – минимизиране на потенциалните входни точки за атаки.

• Мониторинг на подозрителни влизания чрез Entra ID Protection.

• Минимизиране на съхранените секрети на разработчици и използване на краткоживотни токени с минимални права.

Тази кампания демонстрира, че разработчиците са цел на сложни кибератаки, които комбинират социално инженерство с техники за RCE и кражба на данни. Дори добре познати framework-и като Next.js могат да бъдат използвани за компрометиране на хост машините.
Систематичният подход към безопасността, ограничаването на доверени среди и минимизацията на чувствителните данни стават ключови за защитата на професионалните разработчици и корпоративните проекти.