Οι χάκερ γεμίζουν το GitHub με έργα που κρύβουν κακόβουλο κώδικα.

Κυβερνοεγκληματίες κρύβουν κακόβουλο κώδικα με “ασφαίρου” χαρακτήρες Unicode

Οι νέοι έρευνες της εταιρείας Aikido Security έδειξαν ότι στις αρχές Μαρτίου εμφανίστηκαν 151 έργα στο GitHub που περιείχαν κρυφό spyware. Οι κακόβουλες πακέτες χρησιμοποιούν χαρακτήρες Unicode που για τον άνθρωπο μοιάζουν με κενά ή άδεια γραμμές, αλλά κατά την τυπική εκτέλεση JavaScript μετατρέπονται σε εκτελέσιμο byte‑code και εισέρχονται στη συνάρτηση `eval()`.

Πώς φαίνεται η επίθεση
1. Ονόματα βιβλιοθηκών

Τα πακέτα ονομάζονται όπως γνωστές εμπορικές λύσεις (π.χ., «React» ή «Node.js»). Αυτό κάνει τους προγραμματιστές να πιστεύουν λανθασμένα ότι είναι ασφαλή και να τα ενσωματώνουν στα έργα τους.

2. “Διαβάσιμος” κώδικας + κρυφά τμήματα

Το μεγαλύτερο μέρος του κώδικα φαίνεται ως κανονική, ευανάγνωστη εφαρμογή. Μέσα σε αυτό υπάρχουν μπλοκ γεμάτα “ασφαίρου” χαρακτήρες. Κατά την χειρωνακτική προβολή εξαφανίζονται, αλλά κατά την εκτέλεση ενεργοποιούνται.

3. Δοκιμαστικά αποθετήρια

Τέτοιες κακόβουλες πακέτες έχουν εντοπιστεί όχι μόνο στο GitHub, αλλά και σε NPM, Open VSX και στην αγορά Visual Studio Code.

Γιατί είναι δύσκολο να τα ανιχνεύσετε
- Οι αλλαγές στα έργα φαίνονται φυσιολογικές: ενημέρωση έκδοσης, διορθώσεις σφαλμάτων, ανασχεδιασμός.

- Οι επιτιθέμενοι, σύμφωνα με ειδικούς, χρησιμοποιούν μεγάλα μοντέλα γλώσσας AI για την αυτοματοποίηση της παραποίησης κώδικα. Αυτό επιτρέπει τη γρήγορη προετοιμασία πάνω από 150 έργων χωρίς χειρωνακτική εργασία.

Ιστορία των χαρακτήρων
Οι χαρακτήρες Unicode που αντιπροσωπεύουν λατινικούς γράμματα προστέθηκαν στο σύστημα πριν δεκαετίες. Από το 2024, χρησιμοποιούνται από χάκερ για την κρυφή εντολή σε chat‑bots και κώδικα σε αποθετήρια. Παραδοσιακά εργαλεία στατικής ανάλυσης δεν τα αναγνωρίζουν· μόνο κατά την εκτέλεση JavaScript μικροί αποκωδικοποιητές αποκαλύπτουν τον πραγματικό byte‑code.

Τι πρέπει να κάνουν οι προγραμματιστές
1. Ελέγξτε τις εξαρτήσεις – πριν ενσωματώσετε εξωτερικές βιβλιοθήκες, μελετήστε προσεκτικά τον πηγαίο κώδικα και την ιστορία αλλαγών τους.

2. Αυτόματα έλεγχο – χρησιμοποιήστε linting, σαρωτές για “ασφαίρου” χαρακτήρες και εργαλεία δυναμικής ανάλυσης συμπεριφοράς.

3. Ενημερώστε – παρακολουθήστε ώστε τα πακέτα να μην διαγράφονται μετά τη λήψη· αυτό μπορεί να υποδεικνύει κρυφή απειλή.

Προοπτικές
Αν οι υποθέσεις για την χρήση AI σε αυτή τη διαδικασία επιβεβαιωθούν, η ανίχνευση και η εξάλειψη τέτοιων επιθέσεων θα γίνουν ολοένα πιο δύσκολες. Παρ' όλα αυτά, μια συνειδητοποιημένη προσέγγιση στην επαλήθευση του πηγής κώδικα και των εξαρτήσεων παραμένει η καλύτερη προστασία από τέτοιου είδους απειλές.