Разработчики в области кибербезопасности обнаружили широкомасштабную кампанию, в рамках которой на платформе GitHub размещаются проекты, содержащие вредоносный код. Этот код замаскирован при помощи невидимых символов Unicode, передает Ars Technica.
Согласно отчету компании Aikido Security, с 3 по 9 марта было загружено 151 подобный пакет. Названия пакетов имитируют популярные продукты, что может привести к тому, что разработчики ошибочно интегрируют их как легитимные библиотеки. Ключевое отличие от предыдущих методов заключается в том, что основная часть кода выглядит безвредной, а вредоносные функции скрыты с помощью символов Unicode, которые визуально неотличимы от пробелов или пустых строк. Тем не менее, интерпретатор JavaScript воспринимает их как исполняемые команды.
Подобные случаи также были зафиксированы в репозиториях NPM, Open VSX и в магазине расширений VS Code. Исследователи присвоили злоумышленной группе название Glassworm. Их действия трудно обнаружить по косвенным признакам, так как обновления выглядят правдоподобно и включают изменения в документации, повышение версий и исправления ошибок. Эксперты полагают, что для реализации этой схемы могли быть задействованы языковые модели искусственного интеллекта.
Скрытые символы соответствуют латинским буквам и расшифровываются в процессе выполнения JavaScript, что позволяет запускать замаскированный код. Эти символы давно существуют в стандарте Unicode, но их использование для сокрытия вредоносных фрагментов началось только в 2024 году.
Специалисты считают, что обнаруженные 151 проект представляют собой лишь часть более масштабной операции, поскольку подобные пакеты часто удаляются после достижения определенного количества загрузок.