Поддельное собеседование на работу с Next.js приводит к установке бэкдора на устройства разработчиков

Хакеры запустили скоординированную кампанию, направленную на разработчиков программного обеспечения. Она использует приглашения на собеседования по вакансиям, а также вредоносные репозитории, выдающие себя за легитимные проекты Next.js и материалы для технической оценки, включая тесты по программированию для набора персонала.

Цель злоумышленника — добиться удалённого выполнения кода на машинах разработчиков, похитить конфиденциальные данные и внедрить дополнительные полезные нагрузки в скомпрометированные системы.

Next.js — популярный фреймворк JavaScript, используемый для создания веб-приложений. Он работает на основе React и применяет Node.js в качестве бэкенда.

По данным Microsoft Defender, злоумышленники создали поддельные проекты веб-приложений, разработанные с помощью Next.js, и замаскировали их под проекты по программированию, чтобы делиться ими с разработчиками во время собеседований или технических оценок.

Исследователи сначала выявили один репозиторий, размещённый в облачном сервисе Bitbucket, основанном на Git. Однако они обнаружили несколько таких репозиториев, которые имели общую структуру кода, логику загрузчика и шаблоны именования. Когда жертва клонирует его и открывает локально, следуя стандартному рабочему процессу, то запускается вредоносный JavaScript, который автоматически выполняется при запуске приложения.

Скрипт загружает дополнительный вредоносный код (бэкдор JavaScript) с сервера злоумышленника и выполняет его непосредственно в памяти с помощью запущенного процесса Node.js. Чтобы повысить скорость заражения, злоумышленники внедрили несколько триггеров выполнения в вредоносные репозитории. Они суммированы следующим образом:

триггер VS Code — файл .vscode/tasks.json с параметром runOn: "folderOpen"