Microsoft 警告开发者警惕假冒 Next.js 工作库

微软警告开发者注意假冒的 Next.js 工作库

微软的安全研究团队本周发布了一份报告，揭示了一个针对开发者的协同攻击活动。该活动利用伪装成合法 Next.js 项目的恶意仓库和技术评估来诱骗受害者执行它们，并在被攻陷的机器上建立持久访问。

微软指出，这种攻击活动的特点是使用多个入口点，这些入口点最终都会导致运行由攻击者控制的 JavaScript 代码以实现命令和控制（C2）功能。威胁行为者在 Bitbucket 等受信任的开发平台设置假仓库，并使用如“Cryptan-Platform-MVP1”这样的名称来诱骗寻找工作的开发者。

Visual Studio Code 工作区执行：微软 Visual Studio Code (VS Code) 项目中包含工作区自动化配置，当开发者打开并信任该项目时，会从 Vercel 域名获取并运行恶意代码。
构建时间执行：在应用开发期间手动启动开发服务器（通过“npm run dev”）足以激活嵌入在伪装成 jquery.min.js 的修改后的 JavaScript 库中的恶意代码。该库会从 Vercel 获取一个 JavaScript 加载器，然后由 Node.js 在内存中执行。
环境泄露和动态远程代码执行：启动应用程序后端会导致隐藏在后端模块或路由文件中的恶意加载逻辑被执行。加载器将进程环境传输到外部服务器，并在 Node.js 服务器进程中从响应中接收 JavaScript 并在内存中执行，以最小化磁盘上的痕迹。

所有三种方法最终都会导致相同的 JavaScript 负载，该负载负责对主机进行配置文件分析，并定期轮询注册端点获取唯一的“instanceId”标识符。此标识符随后在后续的轮询中提供以关联活动。

为了应对这种威胁，微软建议组织加强开发工作流的信任边界、实施强身份验证和条件访问策略、保持严格的凭据卫生、遵循最小权限原则来管理开发者账户和构建标识，并在可行的情况下分离构建基础设施。

元記事: https://thehackernews.com/2026/02/fake-nextjs-repos-target-developers.html