Координована кампанія атакує розробників під виглядом технічних тестів та вакансій, використовуючи шкідливі репозиторії з нібито проєктами на Next.js. Після клонування та запуску коду зловмисники отримують віддалене виконання команд (RCE), викрадають дані та розгортають додаткові бекдори.
Атакувальники створюють фейкові репозиторії, які виглядають як звичайні тестові завдання або демо-проєкти на Next.js — популярному JavaScript-фреймворку для створення вебзастосунків. Розробнику надсилають посилання на “технічне завдання” під час співбесіди. Після клонування репозиторію та стандартного запуску проєкту шкідливий код активується автоматично. Головна мета — отримати remote code execution (RCE), зібрати конфіденційні дані та встановити додаткові шкідливі модулі.
Microsoft Defender виявив кілька репозиторіїв із однаковою структурою, логікою завантажувача та схожими назвами, що свідчить про добре організовану кампанію.
Зловмисники вбудували кілька тригерів виконання:
1. VS Code trigger
Файл .vscode/tasks.json із параметром runOn: "folderOpen" запускає Node-скрипт одразу після відкриття папки (якщо вона довірена).
2. Dev server trigger
При виконанні npm run dev модифікована бібліотека декодує приховану URL-адресу, завантажує шкідливий loader і виконує його в пам’яті процесу Node.js.
3. Backend startup trigger
Під час запуску бекенду модуль декодує base64-ендпоінт із .env, передає process.env зловмиснику, отримує у відповідь JavaScript-код і виконує його через new Function().
Перший payload профілює систему та реєструється на C2-сервері, періодично опитуючи його.
Друга стадія підключається до окремого C2, отримує завдання, виконує довільний JavaScript у пам’яті, підтримує:
перегляд файлів
навігацію по директоріях
staged-експортування даних
контроль запущених процесів
Усе без запису шкідливих файлів на диск.
Microsoft не розкрила деталей про походження кампанії або її масштаб. Однак повторюваність структури та інфраструктури свідчить, що це не одноразова атака. Компанія радить розглядати стандартні робочі процеси розробника як потенційні точки атаки.
Серед рекомендацій:
Використовувати VS Code Workspace Trust / Restricted Mode
Активувати Attack Surface Reduction (ASR) rules
Моніторити підозрілі входи через Entra ID Protection
Мінімізувати зберігання секретів на локальних машинах
Використовувати короткоживучі токени з мінімальними привілеями
Ця кампанія демонструє нову тенденцію: атакуються не тільки компанії, а й окремі розробники через їхній звичний workflow. Git-клон, npm run dev, відкриття проєкту в VS Code — тепер це потенційні точки входу для бекдора.
Dev-середовище стає новим фронтом кіберзагроз.
