Next.js开发者遭遇恶意代码库攻击窃取机密信息

据微软报告，Next.js开发者再次成为黑客攻击目标，攻击者通过伪装成合法项目的恶意代码库进行攻击，其中部分代码库已被确认与实际入侵事件直接相关。

攻击手段和执行路径

微软表示，这些恶意代码库采用多种方法在开发者机器上执行，但最终都指向同一个结果：在内存中执行恶意JavaScript代码。

研究团队识别出的所有执行路径都被设计为在Next.js开发者的正常工作流程中触发。例如，其中一种攻击方式滥用Visual Studio Code的工作区自动化功能，一旦开发者打开并信任项目，就会立即加载恶意文件。

在这些情况下，攻击变种通常会从Vercel检索JavaScript加载器，使用Node.js执行，然后开始向攻击者控制的命令与控制（C2）基础设施发送信标以获取进一步指令。

其他攻击路径包括诱导目标开发者直接运行项目的开发服务器或通过npm run dev命令运行，此时嵌入在木马化资产或修改库（如被篡改的前端文件）中的恶意逻辑会检索并执行加载器。还有一些攻击依赖于受害者启动应用程序后端，在服务器初始化或模块导入过程中触发隐藏在后端模块中的预加载恶意逻辑。

恶意载荷的执行机制

无论采用哪种攻击路径，最终结果都是注册受影响的设备，运行JavaScript加载器，并与攻击者的C2基础设施建立连接。

通过初始阶段移交的独立C2 IP地址和API集，控制器会检索包含JavaScript任务的消息数组，并使用独立的Node解释器在内存中执行这些任务，以减少磁盘上的攻击痕迹。

这一过程还允许进行数据窃取。在开发者机器上，这可能包括从个人数据到源代码、机密信息或云资源的任何内容。

微软表示，该控制器能够轮换其标识符以防止反恶意软件解决方案和人类防御者识别可疑活动模式，同时接收攻击者的指令。

控制器还会遵循终止开关或关闭命令，跟踪其生成的进程以防止受害者因性能问题而产生怀疑，并报告错误遥测数据，允许攻击者调整失败的命令。

伪装成招聘流程的攻击策略

这些项目由犯罪分子以招聘流程的名义传播，要求开发者完成与求职申请相关的任务。

虽然很难想象目标开发者会在企业机器上完成这些面试评估任务，但微软警告称，这样做可能会使组织面临更大范围的入侵风险。

微软补充道："关键要点是，防御者应将开发者工作流视为主要攻击面，优先关注异常的Node执行、意外的出站连接，以及来自开发机器的后续发现或上传行为的可见性。"

Q&A

Q1：这次攻击主要针对什么群体？

A：这次攻击主要针对Next.js开发者。攻击者通过创建伪装成合法项目的恶意代码库来诱骗开发者，所有的执行路径都被设计为在Next.js开发者的正常工作流程中触发。

Q2：恶意代码是如何在开发者机器上执行的？

A：攻击者使用多种方法，包括滥用Visual Studio Code工作区自动化、诱导开发者运行npm run dev命令，或启动应用程序后端。无论哪种方式，最终都会在内存中执行恶意JavaScript代码并与攻击者的C2基础设施建立连接。

Q3：攻击者如何诱骗开发者下载这些恶意项目？

A：攻击者将这些恶意项目伪装成招聘流程的一部分，声称是面试评估任务，要求开发者完成与求职申请相关的工作，从而诱骗开发者下载并运行恶意代码。