Microsoft advarer utviklere

Falske Next.js-prosjekter med hackerprogramvare retter seg mot utviklere som søker jobb.

Slik ser en av kontoene til de nord-koreanske-hackerne bak de falske Next.js-prosjektene ut, ifølge The Hacker News.
Jørgen Jacobsen
Jørgen Jacobsen utvikler, kode24
Publisert

Microsoft advarer nå utviklere om en koordinert angrepskampanje der falske kodeprosjekter forkledd som legitime Next.js-repos brukes til å installere skadevare direkte i minnet på offerets maskin, skriver The Hacker News.

Ifølge Microsoft Defender Security Research Team retter kampanjen seg spesielt mot utviklere som søker jobb. 

Angriperne utgir prosjektene som tekniske tester eller rekrutteringsoppgaver, noe som gjør at de naturlig passer inn i normale utviklerarbeidsflyter.

Når utviklere laster ned og kjører prosjektene, hentes angriperkontrollert JavaScript dynamisk og kjøres uten å lagres på disk – en metode som gjør angrepene vanskeligere å oppdage.

Aktiveres bare ved å åpne prosjektet

Angrepene distribueres via falske repositories på plattformer som Bitbucket, med navn som skal fremstå som ekte jobbprosjekter. Microsoft har identifisert flere måter skadevaren aktiveres på, men alle fører til samme resultat: fjernstyrt tilgang til utviklerens system.

I enkelte tilfeller starter angrepet idet prosjektet åpnes i Visual Studio Code. Ondsinnede VS Code-oppgaver er konfigurert med triggeren runOn: "folderOpen", som automatisk kjører kode når prosjektmappen åpnes og godkjennes.

Slik ser angrepene ut ifølge Microsoft.

Andre varianter aktiveres når utvikleren starter utviklingsserveren med kommandoer som npm run dev, eller når backend-serveren startes. Da sendes miljøvariabler og systeminformasjon til angripernes server før ytterligere kode kjøres direkte i Node.js-prosessen.

Den nedlastede koden etablerer kontakt med kommando- og kontrollservere (C2), profilerer maskinen og åpner for vedvarende fjernstyring – uten å etterlate tydelige spor på harddisken.

Kobles til nordkoreansk hackerkampanje

Microsoft har ikke formelt tilskrevet angrepene til én aktør, men metodene ligner sterkt på taktikker brukt i den nordkoreansk-tilknyttede kampanjen «Contagious Interview», skriver The Hacker News. Målet er å kompromittere utviklermaskiner, som ofte inneholder kildekode, API-nøkler og tilgangsinformasjon som kan gi videre tilgang til selskapers interne systemer.

Sikkerhetsselskaper har også observert nye teknikker i kampanjen, blant annet:

  • skadevare distribuert via GitHub Gists og forkortede URL-er

  • ondsinnede npm-pakker som laster ned JavaScript-malware

  • infostealere som stjeler data fra nettlesere, kryptolommebøker og passordhåndterere

I noen tilfeller er skadevare til og med hentet fra smartkontrakter lagret på blokkjeden Polygon for å gjøre infrastrukturen mer robust mot nedstenging, skriver The Hacker News.

GitLab opplyser samtidig at plattformen i 2025 utestengte 131 kontoer knyttet til lignende kampanjer, og fant tegn på organiserte IT-arbeiderceller med millioner av dollar i inntekter fra slike operasjoner.

Microsoft anbefaler nå virksomheter å stramme inn sikkerheten rundt utviklerarbeidsflyt, bruke sterk autentisering, begrense tilganger og skille bygge- og utviklingsmiljøer for å redusere risikoen.

Angrepet viser hvordan noe så dagligdags som en jobbtest eller et Git-repository i praksis kan bli en effektiv inngangsport til avansert cyberangrep.

nordkorea next.js microsoft utviklere artikkel skadevare
Powered by Labrador CMS