https://pepelac.news/de/posts/id32931-cybersecurity-forscher-decken-github-schadcode-kampagne-mit-unicode-auf

Cybersecurity-Forscher decken GitHub-Schadcode-Kampagne mit Unicode auf

GitHub-Schadcode-Kampagne nutzt unsichtbare Unicode-Zeichen

Cybersecurity-Forscher decken GitHub-Schadcode-Kampagne mit Unicode auf

Cybersecurity-Forscher haben eine GitHub-Kampagne aufgedeckt, bei der Angreifer Schadcode in Projekten mit unsichtbaren Unicode-Zeichen verstecken, was Entwickler gefährdet.

2026-03-15T12:46:43+03:00

Cybersecurity-Forscher haben eine groß angelegte Kampagne aufgedeckt, bei der Angreifer GitHub-Projekte mit verstecktem Schadcode veröffentlichen. Diese Repositories nutzen spezielle Unicode-Zeichen, die bei einer visuellen Code-Prüfung kaum zu erkennen sind. Für Entwickler erscheinen sie als Leerzeichen oder Zeilen, doch bei der Verarbeitung durch einen Interpreter kann dieser Code korrekt dekodiert werden und schädliche Aktionen ausführen.Experten von Aikido Security zufolge tauchten zwischen dem 3. und 9. März mindestens 151 Pakete auf der Plattform auf, die auf diese Weise präpariert wurden. Diese Projekte geben sich oft als beliebte Bibliotheken oder bekannte Software-Tools aus, was die Wahrscheinlichkeit erhöht, dass Entwickler sie versehentlich nutzen. Auf den ersten Blick wirkt der Code sicher und lesbar, doch gefährliche Funktionen sind in Sequenzen unsichtbarer Zeichen verborgen, was traditionelle manuelle Prüfungen bei der Bedrohungserkennung unwirksam macht. Ähnliche Befunde wurden bereits auf anderen Plattformen dokumentiert, darunter NPM, Open VSX und der VS Code Extensions Marketplace.Experten führen die Kampagne auf eine Gruppe zurück, die vorläufig als Glassworm bezeichnet wird. Ihre Mitglieder zu identifizieren ist äußerst schwierig, da die Repositories sehr plausibel wirken. Sie weisen regelmäßig Dokumentations-Updates, Versionsänderungen, Bugfixes und Code-Refactoring auf – alles Merkmale, die eine aktive Projektentwicklung imitieren. Fachleute vermuten, dass die Angreifer generative KI-Modelle genutzt haben könnten, um eine große Menge solcher realistischer Änderungen zu erzeugen.Technisch nutzt der Angriff die Tatsache aus, dass einige Unicode-Zeichen visuell nicht von Leerzeichen zu unterscheiden sind, aber als lateinische Alphabetzeichen interpretiert werden können. In der Folge extrahiert ein kleiner eingebauter Decoder tatsächliche Bytes aus diesen Symbolen und übergibt sie an eine Code-Ausführungsfunktion. Die entdeckten Projekte könnten nur einen kleinen Teil der gesamten Kampagne darstellen, wie Forscher anmerken, da bösartige Pakete oft entfernt werden, nachdem sie genügend Downloads generiert haben.

Cybersecurity, GitHub, Schadcode, Unicode, Angriff, Entwickler, Sicherheit, Aikido Security, Glassworm, KI-Modelle

2026

Danny Weber

news

GitHub-Schadcode-Kampagne nutzt unsichtbare Unicode-Zeichen

Cybersecurity-Forscher haben eine GitHub-Kampagne aufgedeckt, bei der Angreifer Schadcode in Projekten mit unsichtbaren Unicode-Zeichen verstecken, was Entwickler gefährdet.

Danny Weber, Editor

12:46 15-03-2026

Experten von Aikido Security zufolge tauchten zwischen dem 3. und 9. März mindestens 151 Pakete auf der Plattform auf, die auf diese Weise präpariert wurden. Diese Projekte geben sich oft als beliebte Bibliotheken oder bekannte Software-Tools aus, was die Wahrscheinlichkeit erhöht, dass Entwickler sie versehentlich nutzen. Auf den ersten Blick wirkt der Code sicher und lesbar, doch gefährliche Funktionen sind in Sequenzen unsichtbarer Zeichen verborgen, was traditionelle manuelle Prüfungen bei der Bedrohungserkennung unwirksam macht. Ähnliche Befunde wurden bereits auf anderen Plattformen dokumentiert, darunter NPM, Open VSX und der VS Code Extensions Marketplace.

Experten führen die Kampagne auf eine Gruppe zurück, die vorläufig als Glassworm bezeichnet wird. Ihre Mitglieder zu identifizieren ist äußerst schwierig, da die Repositories sehr plausibel wirken. Sie weisen regelmäßig Dokumentations-Updates, Versionsänderungen, Bugfixes und Code-Refactoring auf – alles Merkmale, die eine aktive Projektentwicklung imitieren. Fachleute vermuten, dass die Angreifer generative KI-Modelle genutzt haben könnten, um eine große Menge solcher realistischer Änderungen zu erzeugen.

Technisch nutzt der Angriff die Tatsache aus, dass einige Unicode-Zeichen visuell nicht von Leerzeichen zu unterscheiden sind, aber als lateinische Alphabetzeichen interpretiert werden können. In der Folge extrahiert ein kleiner eingebauter Decoder tatsächliche Bytes aus diesen Symbolen und übergibt sie an eine Code-Ausführungsfunktion. Die entdeckten Projekte könnten nur einen kleinen Teil der gesamten Kampagne darstellen, wie Forscher anmerken, da bösartige Pakete oft entfernt werden, nachdem sie genügend Downloads generiert haben.