کمیته رکن چهارم – مایکروسافت از شناسایی یک کمپین هماهنگ خبر داده که توسعهدهندگان را با ریپازیتوریهای جعلی Next.js و پروژههای بهظاهر «ارزیابی استخدامی» هدف قرار میدهد؛ پروژههایی که با اجرای آنها، کد مخرب فعال میشود.
به گزارش کمیته رکن چهارم، مهاجمان با انتشار پروژههای حرفهای در GitHub و Bitbucket، قربانی را به clone و اجرای کد ترغیب میکنند. بررسیها نشان میدهد سه مسیر اصلی برای آلودگی وجود دارد: اجرای خودکار task مخرب هنگام باز کردن پروژه در VS Code، فعالسازی loader آلوده با دستور npm run dev و همچنین تعبیه کد مخفی در بخش backend برای استخراج متغیرهای محیطی و اجرای payload در حافظه. در تمامی موارد، بدافزار بدون ایجاد فایل آشکار، به سرور فرماندهی متصل شده و امکان اجرای دستورات و سرقت داده را فراهم میکند.
طبق این گزارش، مهاجمان برای پایداری بیشتر از سرویسهایی مانند Vercel، GitHub Gist و Google Drive برای میزبانی کد استفاده کردهاند و حتی نمونههایی از بازیابی payload از بلاکچین مشاهده شده است. بدافزار نهایی قابلیت سرقت اطلاعات مرورگر، کیفپولهای رمزارزی و رمزهای عبور را دارد. مایکروسافت توصیه کرده سازمانها اصل حداقل دسترسی، احراز هویت چندمرحلهای و بررسی دقیق فایلهای پیکربندی مانند .vscode/tasks.json و اسکریپتهای npm را در دستور کار قرار دهند.
این کمپین نشان میدهد گردشکار عادی توسعه نرمافزار به سطح جدیدی از تهدید تبدیل شده و اعتماد به ریپازیتوریهای ناشناس میتواند به نفوذ سازمانی منجر شود.
منبع: The Hacker News
