Matheus Goulart

@carlozfilipe @erickwendel_ @nextjs @carlozfilipe muito obrigado, vou usar aqui, se funcionar te devo um açaí

@SazuMatheus @erickwendel_ @nextjs Mais informações aqui 👇 #how-to-upgrade-for-next.js" target="_blank" rel="nofollow noopener">vercel.com/kb/bulletin/re…

SIM, Caímos na vulnerabilidade recente do @nextjs 😥 (e como Kubernetes nos salvou 🌟) Segunda-feira como é de costume, o dia mais corrido da semana e meu sistema de alarmes da infra da EW Academy não parava de pipocar, com uso elevado de CPU (alcançou 90% da capacidade do cluster 🤔) Pensei, não deve ser nada, talvez seja a hora de dar uma refinada (e continuei o dia, recebendo aquela pancada de alarmes haha) Deu umas 22 horas, estava planejando algumas aulas e recebi outro alerta e me veio aquele pensamento "porque raios tá pipocando CPU, sendo que eu não tenho adicionado nada novo ha meses" 😥 Corri para o @code, pedi para o Claude Code "poderia verificar por que o serviço ewacademy está gastando tanta CPU?" e foi aí que eu tomei essa resposta da imagem: "🚨 CRITICAL SECURITY BREACH DETECTED! 🚨" Tive um leve pânico, o ataque foi sofisticado: 21 horas de mineração ininterrupta, 3,75 cores de CPU consumidas, 2,4 GB de memória, e todos os logs redirecionados para /dev/null para evitar detecção. O mais curioso e o que me deixou feliz foi olhar os logs das retentativas desse programa que por sorte não arrumou nada! No nosso cluster @kubernetesio, tudo é na base de: ✅ Container executando como usuário não-root (uid=1001) ✅ RBAC minimalista - service account sem permissões de cluster ✅ Isolamento de namespaces - sem acesso a processos do host ✅ Sem docker.sock montado - sem acesso ao runtime ✅ Envs todas isoladas O malware tentou de tudo: escalação de privilégios, acesso a outros pods, modificação de arquivos do sistema. Tudo negado. Ele até conseguiu se instalar a partir do CI, mas não conseguia acessar o mundo externo (pois o container se quer tinha bash, wget ou sh) então ficou num loop eterno de erros. Falando de env, o container tinha acesso apenas à env de token do Strapi, então sem risco à base de dados de alunos (ufa) Mas, nem tudo foi perfeito, o que falhou do meu lado para mitigar ainda mais problemas como esse foi: ❌ Ausência de limites de recursos (CPU/Memory) - permitiu consumo excessivo - nesse serviço eu tinha removido e esqueci de adicionar ❌ Sem scanning de dependências npm no CI/CD - ainda não identifiquei como ele conseguiu se instalar, sendo que eu não atualizo essa app ha mais de um mês ❌ Não desmerecer o alerta 🤣 Se você usa Next.js, atualize seus pacotes AGORA, pois pode também ter sido atacado e nem está sabendo O que tirei de lição foi: - Defesa em camadas funciona - mesmo sem resource limits, o malware ficou contido - Criar os containers já pensando no mínimo de segurança desde o início me salvou de uma catástrofe - Monitoramento de recursos salvou o dia - Uso Prometheus Stack (open source) e o Alert manager ficou me enchendo o saco até eu ir ver 😂 - É preciso usar ferramentas de scanning de imagens docker e pacotes NPM para prever que casos como esses não vão à produção Me conta aí, conhece mais alguém que caiu nesse?

@jackskelt @erickwendel_ @nextjs versão está em ── next@15.3.1

@SazuMatheus @erickwendel_ @nextjs Só são afetadas as aplicações que estão usando o React Server Components. Next.js 15.x, 16.x e versões >= 14.3.0-canary.77 são afetadas. Next.js 13.x, Next.js 14.x stable, Pages Router e Edge Runtime (Vercel) não foram afetadas nextjs.org/blog/CVE-2025-…

@jackskelt @erickwendel_ @nextjs eu uso page router nesse projeto

@marshalldt2112 @erickwendel_ @nextjs do next? de alguma lib?

@SazuMatheus @erickwendel_ @nextjs atualizar versão

@tsu_node @tsu_node apenas absorva a crítica de quem nunca construiu nada 🤠

Fã ou hater?

@renatoaraujoc @lainwired_ Dizem q esse cara é sênior

@lainwired_ Erro comum de Júnior, mas se aprende tomando na cara, já passei por coisas bem toscas tb.

alguém alterou o código client-side do meu SaaS, mudou o valor da subscription para R$ 0,01 e fez o pagamento kkkkkkkkk obrigado por me avisar indiretamente e lembrem-se sempre: BUSQUE VALORES SENSÍVEIS NO LADO DO SERVIDOR!!

@ChristoPy_ Resposta de nutricionista formada com 5 anos de XP

Plot twist: a zero é pior que q a normal Quer ser saudável? Beba água!

todo dev web já viu esse coelhão

@puminhalol 900 reais em dezembro? Oq tu fez com tanto dinheiro? 👏🏻👏🏻👏🏻

@Gaules kabum.com.br/produto/92008/… #BlackFridayKaBuM

É Black Friday, e pra aproveitar eu vou escolher 03 pessoas para ganhar um cupom de 99% OFF no KaBuM! • Escolha um produto do link abaixo (só vale desse link em) • Deixe o link do produto escolhido nos comentários, com a hashtag #BlackFridayKaBuM Bora: kb1.me/blackfridaygau…

@Bieldomaul Tenho de 2021

Compro contas bet 365 pago 10% do lucro. Amigos que tiverem contas antigas/no fumo manda msg

@denzyus @arcanhoto @euovitinn Todo mundo sabe que você pediu pro seu amigo criar pra tu colocar print aqui e tentar farmar míseros likes seu cringe do caralho

real

@puminhalol pqp que cringe esse cigarro forçado

previa da minha primeira música. GARRA - Engano (Prod MAFF)| 06/05/2024 Pre save na bio

@peterjordan gg

900 mil seguidores. Valeu! Pra comemorar vou sortear 2 pix: 1 de 900 reais e outro de 1000 reais pra quem der RT, comentar aqui e me seguir. Vai que né…

Vou dar para 10 pessoas aleatórias que repostarem isso e me seguirem 100% da receita de Ads $ do video do MrBeast

I’m gonna give 10 random people that repost this and follow me $25,000 for fun (the $250,000 my X video made) I’ll pick the winners in 72 hours

@Min_de_CuruMin @tixinhadois SADUIHGASudishagifuadshgfasdiufhdsgiudsfhdsg vlw

Alguém já teve esse bug? NUNCA VI ISSO