Hackerii umplu proiecte pe GitHub care ascund cod malițios în interior.

Cibercriminalii maschează codul malițios cu ajutorul simbolurilor Unicode „invisibile”

Noi cercetări din partea companiei Aikido Security au arătat că la începutul lunii martie pe GitHub au apărut 151 de proiecte care conțin cod spion ascuns. Pachetele malițioase folosesc caractere Unicode care pentru om par a fi spații sau linii goale, dar când JavaScript este rulat în mod normal se transformă în bytecode executabil și ajunge în funcția `eval()`.

Cum arată atacul
1. Numele bibliotecilor

Pachetele sunt numite la fel ca soluțiile comerciale cunoscute (de exemplu, „React” sau „Node.js”). Acest lucru face ca dezvoltatorii să creadă greșit că sunt sigure și să le includă în proiectele lor.

2. Cod „citibil” + fragmente ascunse

Majoritatea codului arată ca o programă obișnuită, ușor de citit. În interior se află blocuri umplute cu caractere „invisibile”. La vizualizare manuală acestea dispar, iar la execuție sunt activate.

3. Repozitorii de test

Aceste pachete malițioase au fost descoperite nu doar pe GitHub, ci și în NPM, Open VSX și marketplace-ul Visual Studio Code.

De ce este greu să le observi
- Modificările din proiecte arată normale: actualizare versiune, corectări de buguri, refactorare.

- În opinia experților, atacatorii folosesc modele lingvistice mari AI pentru a automatiza falsificarea codului. Acest lucru permite pregătirea rapidă a peste 150 de proiecte fără muncă manuală.

Istoria simbolurilor
Simbolurile Unicode care corespund literelor latine au fost adăugate în sistem cu zeci de ani în urmă. Din 2024, hackerii le folosesc pentru a masca cereri malițioase către chatbot-uri și cod în depozite. Instrumentele tradiționale de analiză statică nu le detectează; doar la execuția JavaScript, mici decodificatoare dezvăluie bytecode-ul real.

Ce ar trebui să facă dezvoltatorii
1. Verificați dependențele – înainte de a include biblioteci externe, examinați cu atenție codul sursă și istoricul modificărilor.

2. Verificări automate – folosiți lintere, scanere pentru „caractere invizibile” și instrumente de analiză comportamentală dinamică.

3. Actualizați – asigurați-vă că pachetele nu sunt șterse după descărcare; acest lucru poate indica o amenințare ascunsă.

Perspective
Dacă ipotezele privind utilizarea AI în această schemă se confirmă, detectarea și eliminarea acestor atacuri va deveni din ce în ce mai dificilă. Totuși, o abordare conștientă a verificării codului sursă și dependențelor rămâne cea mai bună apărare împotriva unor astfel de amenințări.