微软披露,Next.js开发者遭遇了一起精心设计的代码库攻击,攻击者通过伪装成招聘流程的项目将恶意软件传播给开发者。这次恶意代码库的攻击直接窃取了开发机密,给开发者带来了极大的安全威胁。微软提醒,防御者应将开发者的工作流程视为主要攻击面,优先关注异常的Node执行、意外的出站连接,以及从开发机器上传或发现的行为。攻击者利用这些伪装的项目诱导开发者执行任务,目标是获取开发者的源代码、个人数据,甚至云资源。微软表示,控制器会轮换其标识符以防止被识别,并接收攻击者的指令来调整失败的命令。该恶意载荷通过独立的Node解释器在内存中执行任务,以减少磁盘上的攻击痕迹。这种攻击策略要求开发者完成看似求职申请的面试评估任务。微软特别指出,这些恶意项目通过多种方式在开发者机器上执行恶意JavaScript代码。为了掩盖行踪,攻击者会伪装成合法项目来迷惑开发者。这次攻击的核心目标就是Next.js开发者,所有执行路径都被设计成在正常工作流程中触发。部分攻击者利用Vercel检索JavaScript加载器,使用Node.js执行并开始向C2基础设施发送信标。还有一些攻击者依赖于受害者启动应用程序后端来触发隐藏在模块中的预加载逻辑。无论采取哪种方式,最终结果都是运行JavaScript加载器并建立与C2的连接。 攻击者通过创建恶意代码库,滥用Visual Studio Code的工作区自动化功能来加载恶意文件。这种情况下,开发者一旦信任并打开项目就会立即中招。还有些变种会从Vercel检索加载器,使用Node.js执行后开始发送信标获取指令。这种攻击手段和执行路径最终都指向在内存中执行恶意JavaScript代码。 微软报告称,这些恶意代码库采用多种方法在开发者机器上运作。无论采用哪种攻击路径,最终都给受影响的设备注册了信息并连接了C2基础设施。微软强调,这种控制器会轮换标识符来避免被反恶意软件发现。 这次恶意代码库事件揭示了攻击者如何通过伪装成招聘流程来传播恶意软件。攻击者会诱导开发者完成求职申请相关的任务,让他们下载并运行恶意代码库。 研究团队识别出的所有执行路径都被设计成在Next.js开发者的正常工作流程中触发。例如一种方式是滥用Visual Studio Code的工作区自动化功能加载恶意文件。 针对这个问题有多个QA问题:Q1是这次攻击主要针对什么群体?A这次攻击主要针对Next.js开发者。Q2是恶意代码是如何在开发者机器上执行的?A攻击者使用多种方法包括滥用Visual Studio Code工作区自动化或诱导开发者运行npm run dev命令。Q3是攻击者如何诱骗开发者下载这些恶意项目?A攻击者将这些恶意项目伪装成招聘流程的一部分声称是面试评估任务要求开发者完成与求职申请相关的工作从而诱骗他们下载并运行。 无论采取哪种方式最终都会在内存中执行恶意JavaScript代码并与C2建立连接通过独立的Node解释器在内存中执行任务减少磁盘痕迹还允许数据窃取可能包括源代码机密信息或云资源等内容该控制器还会遵循终止开关或关闭命令跟踪进程以防止受害者因性能问题而产生怀疑并报告错误遥测数据允许攻击者调整失败命令。 无论采取哪种攻击路径最终结果都是注册受影响的设备运行JavaScript加载器并与攻击者的C2基础设施建立连接通过初始阶段移交的独立C2 IP地址和API集控制器会检索包含JavaScript任务的消息数组并使用独立的Node解释器在内存中执行这些任务以减少磁盘上的攻击痕迹这一过程还允许进行数据窃取在开发者机器上这可能包括从个人数据到源代码机密信息或云资源的任何内容。 微软表示该控制器能够轮换其标识符以防止反恶意软件解决方案和人类防御者识别可疑活动模式同时接收攻击者的指令该控制器还会遵循终止开关或关闭命令跟踪其生成的进程以防止受害者因性能问题而产生怀疑并报告错误遥测数据允许攻击者调整失败的命令。 伪装成招聘流程的攻击策略这些项目由犯罪分子以招聘流程的名义传播要求开发者完成与求职申请相关的任务虽然很难想象目标开发者会在企业机器上完成这些面试评估任务但微软警告称这样做可能会使组织面临更大范围的入侵风险微软补充道关键要点是防御者应将开发者工作流视为主要攻击面优先关注异常的Node执行意外的出站连接以及来自开发机器的后续发现或上传行为的可见性。