Sikkerhetsforskere avdekker GitHub-kampanje med skadelig kode i kodelagre. Unicode-tegn gjør det nesten umulig å oppdage trusselen visuelt. Lær om risikoen og hvordan du beskytter prosjektene dine.
© RusPhotoBank
Sikkerhetsforskere har avdekket en omfattende kampanje der angripere publiserer GitHub-prosjekter med skjult skadelig kode. Disse kodelagrene bruker spesielle Unicode-tegn som er nesten umulige å oppdage under visuell gjennomgang. For utviklere ser de ut som tomme mellomrom eller linjer, men når en tolker behandler dem, kan koden dekodes korrekt og utføre skadelige handlinger.
Ifølge eksperter fra Aikido Security dukket minst 151 pakker laget på denne måten opp på plattformen mellom 3. og 9. mars. Disse prosjektene utgir seg ofte for å være populære biblioteker eller kjente verktøy, noe som øker sjansen for at utviklere ved et uhell kan bruke dem. Ved første øyekast ser koden trygg og lesbar ut, men farlige funksjoner er skjult i sekvenser av usynlige tegn. Dette gjør tradisjonell manuell sjekk ineffektiv for å oppdage trusselen. Lignende funn er allerede dokumentert på andre plattformer, inkludert NPM, Open VSX og VS Code-utvidelsesmarkedet.
Eksperter knytter kampanjen til en gruppe midlertidig kalt Glassworm. Å identifisere medlemmene er svært vanskelig fordi kodelagrene ser svært troverdige ut. De inneholder regelmessig dokumentasjonsoppdateringer, versjonsendringer, feilrettinger og kodeomstrukturering – alt for å etterligne aktiv prosjektutvikling. Spesialister antyder at for å skape et stort volum av slike realistiske endringer, kan angriperne ha brukt generativ AI.
Teknisk sett utnytter angrepet at noen Unicode-tegn er visuelt umulige å skille fra tomme mellomrom, men kan tolkes som latinske alfabettegn. En liten innebygd dekoder trekker ut faktiske byte fra disse symbolene og sender dem til en kodekjøringsfunksjon. De oppdagede prosjektene kan bare være en liten del av hele kampanjen, bemerker forskere, siden skadelige pakker ofte fjernes etter at de har fått nok nedlastinger.