https://pepelac.news/nl/posts/id32936-cybersecurity-kwaadaardige-github-projecten-met-verborgen-unicode-tekens

Cybersecurity: kwaadaardige GitHub-projecten met verborgen Unicode-tekens

Grootschalige campagne met kwaadaardige GitHub-projecten blootgelegd

Cybersecurity: kwaadaardige GitHub-projecten met verborgen Unicode-tekens

Onderzoekers ontdekken kwaadaardige GitHub-projecten met onzichtbare Unicode-tekens die schadelijke code uitvoeren. Leer hoe je jezelf kunt beschermen tegen deze dreiging.

2026-03-15T12:51:42+03:00

Cybersecurityonderzoekers hebben een grootschalige campagne blootgelegd waarbij aanvallers GitHub-projecten plaatsen met verborgen kwaadaardige code. Deze repositories maken gebruik van speciale Unicode-tekens die bijna onmogelijk te spotten zijn tijdens een visuele codereview. Voor ontwikkelaars lijken het lege ruimtes of regels, maar wanneer deze code wordt verwerkt door een interpreter, kan deze correct worden gedecodeerd en schadelijke acties uitvoeren.Volgens experts van Aikido Security verschenen er tussen 3 en 9 maart minstens 151 pakketten die op deze manier waren voorbereid op het platform. Deze projecten doen zich vaak voor als populaire bibliotheken of bekende softwaretools, wat de kans vergroot dat ontwikkelaars ze per ongeluk gebruiken. Op het eerste gezicht ziet de code er veilig en leesbaar uit, maar gevaarlijke functies zijn verborgen in reeksen onzichtbare tekens, waardoor traditionele handmatige controles niet effectief zijn in het detecteren van de dreiging. Soortgelijke bevindingen zijn al gedocumenteerd op andere platforms, waaronder NPM, Open VSX en de VS Code-extensiemarkt.Experts koppelen de campagne aan een groep die voorlopig de naam Glassworm heeft gekregen. Het identificeren van de leden is extreem moeilijk omdat de repositories zeer geloofwaardig ogen. Ze bevatten regelmatig documentatie-updates, versiewijzigingen, bugfixes en code-refactoring – allemaal imitaties van actieve projectontwikkeling. Specialisten suggereren dat de aanvallers generatieve AI-modellen hebben gebruikt om een groot volume van dergelijke realistische wijzigingen te creëren.Technisch gezien maakt de aanval gebruik van het feit dat sommige Unicode-tekens visueel niet te onderscheiden zijn van lege ruimtes, maar kunnen worden geïnterpreteerd als Latijnse alfabettekens. Als gevolg hiervan haalt een kleine ingebouwde decoder daadwerkelijke bytes uit deze symbolen en geeft ze door aan een code-uitvoeringsfunctie. De ontdekte projecten vertegenwoordigen mogelijk slechts een klein deel van de hele campagne, merken onderzoekers op, aangezien kwaadaardige pakketten vaak worden verwijderd nadat ze voldoende downloads hebben verzameld.

cybersecurity, GitHub, kwaadaardige code, Unicode-tekens, Glassworm, ontwikkelaars, beveiliging, software, pakketten, AI-modellen

2026

Danny Weber

news

Grootschalige campagne met kwaadaardige GitHub-projecten blootgelegd

Onderzoekers ontdekken kwaadaardige GitHub-projecten met onzichtbare Unicode-tekens die schadelijke code uitvoeren. Leer hoe je jezelf kunt beschermen tegen deze dreiging.

Danny Weber, Editor

12:51 15-03-2026

Volgens experts van Aikido Security verschenen er tussen 3 en 9 maart minstens 151 pakketten die op deze manier waren voorbereid op het platform. Deze projecten doen zich vaak voor als populaire bibliotheken of bekende softwaretools, wat de kans vergroot dat ontwikkelaars ze per ongeluk gebruiken. Op het eerste gezicht ziet de code er veilig en leesbaar uit, maar gevaarlijke functies zijn verborgen in reeksen onzichtbare tekens, waardoor traditionele handmatige controles niet effectief zijn in het detecteren van de dreiging. Soortgelijke bevindingen zijn al gedocumenteerd op andere platforms, waaronder NPM, Open VSX en de VS Code-extensiemarkt.

Experts koppelen de campagne aan een groep die voorlopig de naam Glassworm heeft gekregen. Het identificeren van de leden is extreem moeilijk omdat de repositories zeer geloofwaardig ogen. Ze bevatten regelmatig documentatie-updates, versiewijzigingen, bugfixes en code-refactoring – allemaal imitaties van actieve projectontwikkeling. Specialisten suggereren dat de aanvallers generatieve AI-modellen hebben gebruikt om een groot volume van dergelijke realistische wijzigingen te creëren.

Technisch gezien maakt de aanval gebruik van het feit dat sommige Unicode-tekens visueel niet te onderscheiden zijn van lege ruimtes, maar kunnen worden geïnterpreteerd als Latijnse alfabettekens. Als gevolg hiervan haalt een kleine ingebouwde decoder daadwerkelijke bytes uit deze symbolen en geeft ze door aan een code-uitvoeringsfunctie. De ontdekte projecten vertegenwoordigen mogelijk slechts een klein deel van de hele campagne, merken onderzoekers op, aangezien kwaadaardige pakketten vaak worden verwijderd nadat ze voldoende downloads hebben verzameld.