https://pepelac.news/fi/posts/id32939-github-kampanja-kayttaa-piilotettua-koodia-haitallisten-pakettien-levittamiseen

GitHub-kampanja käyttää piilotettua koodia haitallisten pakettien levittämiseen

Tietoturvatutkijat paljastaneet laajan kampanjan, jossa GitHub-projektit sisältävät piilotettua haitallista koodia. Unicode-merkit vaikeuttavat havaitsemista, Glassworm-ryhmä epäiltynä.

2026-03-15T12:54:52+03:00

Tietoturvatutkijat ovat paljastaneet laajan kampanjan, jossa hyökkääjät julkaisevat GitHub-projekteja, jotka sisältävät piilotettua haitallista koodia. Nämä repositoriot hyödyntävät erityisiä Unicode-merkkejä, jotka ovat käytännössä mahdottomia havaita visuaalisessa koodikatselussa. Kehittäjille ne näyttävät tyhjiltä väleiltä tai riveiltä, mutta kun tulkkija käsittelee niitä, koodi voi purkautua oikein ja suorittaa vahingollisia toimintoja.Aikido Securityn asiantuntijoiden mukaan alustalla esiintyi ainakin 151 tällä tavoin valmisteltua pakettia 3. ja 9. maaliskuuta välisenä aikana. Nämä projektit esiintyvät usein suosittujen kirjastojen tai tunnettujen ohjelmistotyökalujen kaltaisina, mikä lisää riskiä, että kehittäjät saattavat vahingossa käyttää niitä. Ensimmäisellä silmäyksellä koodi vaikuttaa turvalliselta ja luettavalta, mutta vaaralliset toiminnot on kätketty näkymättömien merkkien sarjoihin, mikä tekee perinteisistä manuaalisista tarkastuksista tehottomia uhan havaitsemisessa. Samanlaisia löydöksiä on jo dokumentoitu muilla alustoilla, kuten NPM:ssä, Open VSX:ssä ja VS Code -laajennusmarkkinapaikassa.Asiantuntijat yhdistävät kampanjan ryhmään, jota kutsutaan väliaikaisesti nimellä Glassworm. Sen jäsenten tunnistaminen on erittäin vaikeaa, koska repositoriot näyttävät erittäin uskottavilta. Niissä näkyy säännöllisesti dokumentaation päivityksiä, versiomuutoksia, virheenkorjauksia ja koodin uudelleenjärjestelyä – kaikki jäljitellen aktiivista projektikehitystä. Erikoistuneiden mukaan suuren määrän tällaisia realistisia muutoksia luodakseen hyökkääjät ovat saattaneet käyttää generatiivisia tekoälymalleja.Teknisesti hyökkäys hyödyntää sitä, että jotkut Unicode-merkit ovat visuaalisesti erottamattomia tyhjistä väleistä, mutta ne voidaan tulkita latinalaisen aakkoston merkeiksi. Tämän seurauksena pieni sisäänrakennettu dekooderi purkaa todelliset tavut näistä symboleista ja välittää ne koodin suoritusfunktiolle. Löydetyt projektit saattavat edustaa vain pientä osaa koko kampanjasta, tutkijat huomauttavat, sillä haitallisia paketteja poistetaan usein sen jälkeen, kun ne ovat keränneet tarpeeksi latauksia.

GitHub, tietoturva, haitallinen koodi, Unicode, Glassworm, kehittäjät, paketit, kampanja, tietoturvatutkijat, GitHub-projektit

2026

Danny Weber

news

GitHub-kampanja käyttää piilotettua koodia haitallisten pakettien levittämiseen

Tietoturvatutkijat paljastaneet laajan kampanjan, jossa GitHub-projektit sisältävät piilotettua haitallista koodia. Unicode-merkit vaikeuttavat havaitsemista, Glassworm-ryhmä epäiltynä.

Danny Weber, Editor

12:54 15-03-2026

Aikido Securityn asiantuntijoiden mukaan alustalla esiintyi ainakin 151 tällä tavoin valmisteltua pakettia 3. ja 9. maaliskuuta välisenä aikana. Nämä projektit esiintyvät usein suosittujen kirjastojen tai tunnettujen ohjelmistotyökalujen kaltaisina, mikä lisää riskiä, että kehittäjät saattavat vahingossa käyttää niitä. Ensimmäisellä silmäyksellä koodi vaikuttaa turvalliselta ja luettavalta, mutta vaaralliset toiminnot on kätketty näkymättömien merkkien sarjoihin, mikä tekee perinteisistä manuaalisista tarkastuksista tehottomia uhan havaitsemisessa. Samanlaisia löydöksiä on jo dokumentoitu muilla alustoilla, kuten NPM:ssä, Open VSX:ssä ja VS Code -laajennusmarkkinapaikassa.

Asiantuntijat yhdistävät kampanjan ryhmään, jota kutsutaan väliaikaisesti nimellä Glassworm. Sen jäsenten tunnistaminen on erittäin vaikeaa, koska repositoriot näyttävät erittäin uskottavilta. Niissä näkyy säännöllisesti dokumentaation päivityksiä, versiomuutoksia, virheenkorjauksia ja koodin uudelleenjärjestelyä – kaikki jäljitellen aktiivista projektikehitystä. Erikoistuneiden mukaan suuren määrän tällaisia realistisia muutoksia luodakseen hyökkääjät ovat saattaneet käyttää generatiivisia tekoälymalleja.

Teknisesti hyökkäys hyödyntää sitä, että jotkut Unicode-merkit ovat visuaalisesti erottamattomia tyhjistä väleistä, mutta ne voidaan tulkita latinalaisen aakkoston merkeiksi. Tämän seurauksena pieni sisäänrakennettu dekooderi purkaa todelliset tavut näistä symboleista ja välittää ne koodin suoritusfunktiolle. Löydetyt projektit saattavat edustaa vain pientä osaa koko kampanjasta, tutkijat huomauttavat, sillä haitallisia paketteja poistetaan usein sen jälkeen, kun ne ovat keränneet tarpeeksi latauksia.