Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры начали заполонять GitHub проектами с «невидимым» вредоносным кодом

Исследователи в области кибербезопасности обнаружили крупномасштабную кампанию по публикации в популярных репозиториях проектов, содержащих вредоносный код, написанный невидимыми для человеческого глаза символами Unicode. При этом такой код в штатном режиме расшифровывается декодерами.

 Источник изображения: Luca Bravo / unsplash.com

Источник изображения: Luca Bravo / unsplash.com

Только с 3 по 9 марта на GitHub был загружен 151 подготовленный таким образом вредоносный пакет, указали исследователи из компании Aikido Security. Обычно такие пакеты имеют имена, напоминающие названия крупных продуктов — бывает, что разработчики по недосмотру включают их в свои проекты, принимая вредоносы за известные и безопасные библиотеки. Теперь же злоумышленники сменили тактику на более изощрённую: основная часть кода в таких продуктах отображается в обычном, читаемом виде и на первый взгляд не содержит опасных фрагментов — вредоносные функции и полезные нагрузки включаются при помощи нечитаемых для человеческого глаза символов Unicode. В результате ручная проверка кода и другие традиционные методы защиты оказываются бесполезными. Работающие схожим образом вредоносы обнаружены также в репозиториях NPM, Open VSX и на маркетплейсе VS Code.

Обнаружить злоумышленников, которых обозначили как Glassworm, по косвенным признакам тоже не получается: все текущие дополнения и изменения проектов выглядят правдоподобно. Это корректировки документации, повышение версий, рефакторинг и исправления ошибок — всё, что свойственно обычным проектам. Чтобы создать такую видимость добросовестной деятельности, злоумышленники, предполагают эксперты, пользуются большими языковыми моделями искусственного интеллекта, потому что проводить такие фальсификации для 151 проекта вручную было бы нецелесообразно.

 Источник изображения: Fotis Fotopoulos / unsplash.com

Источник изображения: Fotis Fotopoulos / unsplash.com

Нечитаемые символы соответствуют буквам латинского алфавита: для человека они выглядят как пробелы или пустые строки, а интерпретатор JavaScript воспринимает их как исполняемый код. Эти знаки появились в составе Unicode несколько десятилетий назад, и только в 2024 году киберпреступники начали использовать их в своих целях, маскируя таким образом вредоносный код или вредоносные запросы к чат-ботам. Традиционные средства анализа кода на эти фрагменты не реагируют, но при выполнении JavaScript небольшой декодер извлекает из них реальные байты, которые передаются в функцию eval(), которая позволяет выполнять код из строки.

Исследователи обнаружили 151 вредоносный проект, но есть основания предполагать, что это лишь верхушка айсберга: эти пакеты зачастую удаляются вскоре после публикации, стоит им набрать достаточное число загрузок. Лучший способ защититься от подобных атак, указывают эксперты, — тщательно проверять код и зависимости библиотек, прежде чем включать их в проекты. Но если предположения об использовании ИИ в этой схеме верны, то делать это будет всё труднее.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 6 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 8 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 8 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 10 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 10 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 11 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 11 ч.
Google подготовила радикальный дизайн «Переводчика» 11 ч.
Windows 11 начала «съедать» до 500 Гбайт на диске — Microsoft признала баг 11 ч.
«Спрашиваю для друга»: сооснователь Arkane поинтересовался у гендиректора Xbox, сколько стоит выкупить студию 13 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 3 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 3 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 6 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 8 ч.
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А 8 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 8 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 8 ч.
Российские власти не будут вводить плату за иностранный трафик 9 ч.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 9 ч.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 11 ч.