所以有人在LinkedIn上联系你，告诉你一个有前途的工作机会。听起来不错，不是吗？它们看起来是合法的（在检查了1分钟后），经过一段短暂的卷积后，它们会向您发送一个GitHub仓库，其中包含一个简单的Next.js“招募任务”。你克隆它，运行它……10分钟后，当你发现你的hot钱包被耗尽时，你的设备完全受损。好吧，发生什么事了？鉴于我们（=海豹突击队911）一次又一次地看到这次袭击，让我透露一些最重要的细节： -首先，最重要的警告是：不要运行某个随机家伙发给你的随机代码。老实说，他妈的不要。 -始终彻底检查repos的executable-config文件。在这种特殊情况下，`next.config.js `文件有一个很大的填充，将恶意负载隐藏在最右侧。 -始终水平滚动——仅仅因为你在查看内容时没有看到任何恶意内容，并不意味着它是干净的。 重要提示：恶意代码可能隐藏在您信任的文件中，只是不在您期望的位置。 我真的希望这条推特能吸引到足够多的人，以防止至少一些未来的受害者陷入这种攻击。