Исследователи по кибербезопасности выявили масштабную кампанию по размещению на GitHub проектов с вредоносным кодом, скрытым с помощью невидимых символов Unicode. Об этом сообщает Ars Technica.
По данным компании Aikido Security, только с 3 по 9 марта было загружено 151 такой пакет. Их названия имитируют известные продукты, из-за чего разработчики могут по ошибке подключить их как безопасные библиотеки. В отличие от прежних схем, теперь основная часть кода выглядит безобидно, а вредоносные функции маскируются символами Unicode, которые визуально воспринимаются как пробелы или пустые строки. При этом интерпретатор JavaScript распознает их как исполняемые команды.
Аналогичные находки зафиксированы также в репозиториях NPM, Open VSX и в маркетплейсе VS Code. Группу злоумышленников исследователи обозначили как Glassworm. Их активность сложно выявить по косвенным признакам: обновления выглядят правдоподобно и включают изменения документации, повышение версий и исправления ошибок. Эксперты предполагают, что для масштабирования схемы могли использоваться языковые модели ИИ.
Невидимые символы соответствуют латинским буквам и декодируются во время выполнения JavaScript, что позволяет запускать скрытый код. Такие символы присутствуют в стандарте Unicode давно, однако применять их для маскировки вредоносных фрагментов начали лишь в 2024 году.
Специалисты считают, что выявленные 151 проект – лишь часть более широкой кампании, поскольку подобные пакеты нередко удаляются после набора достаточного числа загрузок.
Ранее в «Лаборатории Касперского» рассказали о хакерах-юмористах, поразивших российские компании.
