微軟揭露駭客利用假面試題庫竊取開發者憑證

攻擊手法與流程

微軟近期發布研究指出，駭客將惡意儲存庫偽裝成合法的 Next.js 專案或技術測驗題目，誘使軟體開發者在日常工作流程中開啟或執行該專案。攻擊者利用 Node.js 在執行階段擷取開發者的資訊，並於記憶體內執行攻擊者控制的 JavaScript 代碼，進而建立分階段命令與控制（C2）通道。

竊取憑證與資料

透過上述的 C2 通道，駭客能夠持續派送任務並外流開發者的機敏資料。微軟特別指出，此類攻擊旨在竊取開發者的憑證（如 API Keys、GitHub Token 等），導致開發者的帳戶與專案資料面臨洩漏風險。

微軟建議與防護措施

針對此類攻擊，微軟建議開發者對來源不明的專案預設採取不信任態度。在執行任何來自外部或來源不明顯的 Next.js 專案前，應先檢查其來源與權限設定，避免直接執行可能包含惡意腳本的自動任務（如 VS Code 的 tasks.json 配置），以保護個人憑證與企業資料安全。