据微软报告,Next.js开发者再次成为黑客攻击目标,攻击者通过伪装成合法项目的恶意代码库进行攻击,其中部分代码库已被确认与实际入侵事件直接相关。
攻击手段和执行路径
微软表示,这些恶意代码库采用多种方法在开发者机器上执行,但最终都指向同一个结果:在内存中执行恶意JavaScript代码。
研究团队识别出的所有执行路径都被设计为在Next.js开发者的正常工作流程中触发。例如,其中一种攻击方式滥用Visual Studio Code的工作区自动化功能,一旦开发者打开并信任项目,就会立即加载恶意文件。
在这些情况下,攻击变种通常会从Vercel检索JavaScript加载器,使用Node.js执行,然后开始向攻击者控制的命令与控制(C2)基础设施发送信标以获取进一步指令。
其他攻击路径包括诱导目标开发者直接运行项目的开发服务器或通过npm run dev命令运行,此时嵌入在木马化资产或修改库(如被篡改的前端文件)中的恶意逻辑会检索并执行加载器。还有一些攻击依赖于受害者启动应用程序后端,在服务器初始化或模块导入过程中触发隐藏在后端模块中的预加载恶意逻辑。
恶意载荷的执行机制
无论采用哪种攻击路径,最终结果都是注册受影响的设备,运行JavaScript加载器,并与攻击者的C2基础设施建立连接。
通过初始阶段移交的独立C2 IP地址和API集,控制器会检索包含JavaScript任务的消息数组,并使用独立的Node解释器在内存中执行这些任务,以减少磁盘上的攻击痕迹。
这一过程还允许进行数据窃取。在开发者机器上,这可能包括从个人数据到源代码、机密信息或云资源的任何内容。
微软表示,该控制器能够轮换其标识符以防止反恶意软件解决方案和人类防御者识别可疑活动模式,同时接收攻击者的指令。
控制器还会遵循终止开关或关闭命令,跟踪其生成的进程以防止受害者因性能问题而产生怀疑,并报告错误遥测数据,允许攻击者调整失败的命令。
伪装成招聘流程的攻击策略
这些项目由犯罪分子以招聘流程的名义传播,要求开发者完成与求职申请相关的任务。
虽然很难想象目标开发者会在企业机器上完成这些面试评估任务,但微软警告称,这样做可能会使组织面临更大范围的入侵风险。
微软补充道:"关键要点是,防御者应将开发者工作流视为主要攻击面,优先关注异常的Node执行、意外的出站连接,以及来自开发机器的后续发现或上传行为的可见性。"
Q&A
Q1:这次攻击主要针对什么群体?
A:这次攻击主要针对Next.js开发者。攻击者通过创建伪装成合法项目的恶意代码库来诱骗开发者,所有的执行路径都被设计为在Next.js开发者的正常工作流程中触发。
Q2:恶意代码是如何在开发者机器上执行的?
A:攻击者使用多种方法,包括滥用Visual Studio Code工作区自动化、诱导开发者运行npm run dev命令,或启动应用程序后端。无论哪种方式,最终都会在内存中执行恶意JavaScript代码并与攻击者的C2基础设施建立连接。
Q3:攻击者如何诱骗开发者下载这些恶意项目?
A:攻击者将这些恶意项目伪装成招聘流程的一部分,声称是面试评估任务,要求开发者完成与求职申请相关的工作,从而诱骗开发者下载并运行恶意代码。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
CGGS是华南理工大学与西湖大学联合提出的以自我为中心三维场景生成框架,通过一致性增强多视角扩散模型、光流深度估计和互信息几何优化,实现高保真文本驱动3D场景生成。