Next.jsのリポジトリで何が起きていますか？

A. 悪意あるJavaScriptが実行される可能性があります。

Next.js向けの公開リポジトリの中で、脅威アクターが用意したコードをメモリ内で実行してしまう事例が複数確認されています。いずれも実行経路は異なりますが、最終的に攻撃者側のC2に接続される点は共通しています。

一部ではVisual Studio Codeのワークスペース機能を悪用し、プロジェクトを開いた直後に処理が始まります。 外部から追加のコードを取得し、ファイルとして残さずにそのまま実行されます。

また、開発時にアプリケーションを起動したタイミングで動き出す亜種もあります。通常の処理に見せかけながら、外部から取得したコードをNode.js上で実行します。バックエンド起動時に環境情報を外部へ送信し、受け取ったコードをそのまま動かす例も確認されています。

いずれのケースでも、実行されたJavaScriptは第二段階のC2として機能してしまいます。

👉 詳細のブログはこちら