Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры начали заполонять GitHub проектами с «невидимым» вредоносным кодом

Исследователи в области кибербезопасности обнаружили крупномасштабную кампанию по публикации в популярных репозиториях проектов, содержащих вредоносный код, написанный невидимыми для человеческого глаза символами Unicode. При этом такой код в штатном режиме расшифровывается декодерами.

 Источник изображения: Luca Bravo / unsplash.com

Источник изображения: Luca Bravo / unsplash.com

Только с 3 по 9 марта на GitHub был загружен 151 подготовленный таким образом вредоносный пакет, указали исследователи из компании Aikido Security. Обычно такие пакеты имеют имена, напоминающие названия крупных продуктов — бывает, что разработчики по недосмотру включают их в свои проекты, принимая вредоносы за известные и безопасные библиотеки. Теперь же злоумышленники сменили тактику на более изощрённую: основная часть кода в таких продуктах отображается в обычном, читаемом виде и на первый взгляд не содержит опасных фрагментов — вредоносные функции и полезные нагрузки включаются при помощи нечитаемых для человеческого глаза символов Unicode. В результате ручная проверка кода и другие традиционные методы защиты оказываются бесполезными. Работающие схожим образом вредоносы обнаружены также в репозиториях NPM, Open VSX и на маркетплейсе VS Code.

Обнаружить злоумышленников, которых обозначили как Glassworm, по косвенным признакам тоже не получается: все текущие дополнения и изменения проектов выглядят правдоподобно. Это корректировки документации, повышение версий, рефакторинг и исправления ошибок — всё, что свойственно обычным проектам. Чтобы создать такую видимость добросовестной деятельности, злоумышленники, предполагают эксперты, пользуются большими языковыми моделями искусственного интеллекта, потому что проводить такие фальсификации для 151 проекта вручную было бы нецелесообразно.

 Источник изображения: Fotis Fotopoulos / unsplash.com

Источник изображения: Fotis Fotopoulos / unsplash.com

Нечитаемые символы соответствуют буквам латинского алфавита: для человека они выглядят как пробелы или пустые строки, а интерпретатор JavaScript воспринимает их как исполняемый код. Эти знаки появились в составе Unicode несколько десятилетий назад, и только в 2024 году киберпреступники начали использовать их в своих целях, маскируя таким образом вредоносный код или вредоносные запросы к чат-ботам. Традиционные средства анализа кода на эти фрагменты не реагируют, но при выполнении JavaScript небольшой декодер извлекает из них реальные байты, которые передаются в функцию eval(), которая позволяет выполнять код из строки.

Исследователи обнаружили 151 вредоносный проект, но есть основания предполагать, что это лишь верхушка айсберга: эти пакеты зачастую удаляются вскоре после публикации, стоит им набрать достаточное число загрузок. Лучший способ защититься от подобных атак, указывают эксперты, — тщательно проверять код и зависимости библиотек, прежде чем включать их в проекты. Но если предположения об использовании ИИ в этой схеме верны, то делать это будет всё труднее.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 2 мин.
За два с половиной года раннего доступа в симулятор «покемонов с пушками» Palworld сыграло 40 миллионов человек 2 ч.
Owlcat починила Warhammer 40,000: Rogue Trader на Switch 2 — все DLC для игры стали бесплатными 4 ч.
Microsoft начала больше использовать свои ИИ-модели в сервисах, чтобы меньше платить OpenAI и Anthropic 4 ч.
Meta представила Muse Image — свою первую серьёзную модель для генерации изображений, которая будет доступна Meta AI и соцсетях 4 ч.
Meta сократила простои ИИ-ускорителей, полностью перестроив своё глобальное хранилище данных 5 ч.
Китай собирается строить ИИ-занавес: власти рассматривают запрет зарубежного доступа к местным ИИ-моделям 9 ч.
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» 15 ч.
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 17 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 19 ч.
TensorWave привлекла $350 млн на расширение ИИ-облака с AMD Instinct — AMD тоже вложилась 25 мин.
Южнокорейская KT построит 1 ГВт мощностей ЦОД и получит международные интернет-каналы на 90 Тбит/с 34 мин.
Высокогорный ИИ: DataHub и Hosted AI запустят в Непале облако YetiCloud 41 мин.
Biostar представила компьютер EdgeComp MS-NAT4000 для периферийного ИИ на базе NVIDIA Jetson Thor T4000 46 мин.
Выход на IPO, интерес Apple и высокие цены на память помогут CXMT запустить производство HBM в Китае 3 ч.
Samsung запустила массовое производство SSD с PCIe 6.0 — они не для ПК 3 ч.
Очередная презентация Samsung Galaxy Unpacked состоится 22 июля: ожидаются смарт-часы и складные смартфоны 4 ч.
Последние шесть Atlas V с российскими двигателями смогут запускать только многострадальные корабли Starliner 4 ч.
Google назначила презентацию новых Pixel на 12 августа 4 ч.
Судья запретила Пентагону связывать Alibaba с китайскими военными, пока что 4 ч.