Хакеры маскируют вредоносный код в проектах на GitHub

Эксперты по кибербезопасности выявили масштабную кампанию по распространению вредоносного кода через проекты на GitHub. Как сообщает Ars Technica, вредоносные элементы в них маскируются с помощью невидимых символов Unicode.

Согласно отчёту компании Aikido Security, только в период с 3 по 9 марта было опубликовано 151 подобное программное пакетное решение. Их названия имитируют популярные библиотеки и инструменты, из-за чего разработчики могут по ошибке принять их за легитимные компоненты и подключить к своим проектам.

Особенность этой схемы в том, что основная часть кода выглядит безопасной. Вредоносные функции скрываются при помощи специальных символов Unicode, которые визуально почти не отличаются от обычных пробелов или пустых строк. Однако интерпретатор JavaScript распознаёт их как команды и выполняет скрытый код.

Подобные случаи также были обнаружены в других экосистемах разработки, включая NPM, Open VSX и магазин расширений VS Code. Исследователи назвали предполагаемую группу злоумышленников Glassworm. По словам специалистов, их активность трудно заметить, поскольку обновления выглядят правдоподобно: они сопровождаются изменениями в документации, увеличением номера версии и исправлениями ошибок.

Эксперты допускают, что при создании таких пакетов могли использоваться языковые модели искусственного интеллекта. Скрытые символы Unicode соответствуют латинским буквам и расшифровываются во время выполнения JavaScript, что позволяет запускать замаскированный вредоносный код.

Отмечается, что сами символы существуют в стандарте Unicode давно, однако использовать их для сокрытия вредоносных фрагментов начали лишь в 2024 году. Специалисты считают, что обнаруженные 151 проект — лишь часть более крупной операции, поскольку такие пакеты часто удаляются после того, как набирают определённое количество загрузок.