Microsoft предупредила о серии атак на разработчиков через поддельные репозитории на фреймворке Next.js. Хакеры маскируют вредоносный код под тестовые задания для собеседований. Код запускается незаметно, при открытии папки в VS Code, запуске npm run dev или старте сервера, и даёт злоумышленникам удалённый доступ к компьютеру.
Разработчик получает ссылку на репозиторий, как правило, под видом тестового задания от «рекрутера». Внутри обычный на вид Next.js-проект, но с ловушками. Исследователи Microsoft Defender нашли три способа запуска вредоносного кода, и все встроены в привычные действия программиста: открыл проект в VS Code, сработал файл .vscode/tasks.json, настроенный на автозапуск скрипта. Набрал npm run dev, вредоносный код спрятан в изменённых библиотеках. Запустил серверную часть, скрытая логика активируется при загрузке серверных модулей. Все три пути ведут к одному: на компьютер загружается JavaScript, который выполняется прямо в оперативной памяти и не оставляет следов на диске.
После запуска скрипт связывается с сервером злоумышленников. Хакеры получают возможность удалённо выполнять команды, просматривать файлы и красть данные, исходный код, API-ключи, токены доступа к облачным сервисам. Скрипт меняет свои идентификаторы, чтобы обходить антивирусы, и поддерживает команду на самоуничтожение.
Microsoft обнаружила семейства таких репозиториев с похожими названиями: Cryptan, JP-soccer, RoyalJapan, SettleMint. Все использовали одну структуру и общие серверы для доставки кода, чаще всего платформу Vercel, хотя, по данным Abstract Security, хакеры уже переходят на другие площадки.
Microsoft не назвала организатора, но отметила совпадение с северокорейской кампанией Contagious Interview, в рамках которой хакеры годами заманивают разработчиков через поддельные вакансии. GitLab подтвердил масштаб в отдельном отчёте: за 2025 год платформа заблокировала 131 аккаунт с северокорейским следом, пик пришёлся на сентябрь. В 90% случаев хакеры регистрировались через Gmail. В 80% случаев вредоносный код хранился не на самой платформе, а на сторонних сервисах, прежде всего на Vercel.
GitLab также раскрыл финансовую сторону. На платформе нашли закрытый репозиторий с отчётами северокорейской ячейки. С 2022 по третий квартал 2025 года группа заработала свыше 1,64 млн долларов на фриланс-разработке под чужими именами, с квартальной отчётностью и планами для каждого участника.
Microsoft рекомендует включить режим Workspace Trust в VS Code, чтобы незнакомые проекты не запускали скрипты автоматически, и следить за сетевыми подключениями из процессов Node.js. Главное правило, не запускать код из незнакомых репозиториев на рабочем компьютере, особенно если ссылку прислал «рекрутер» в LinkedIn.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
