ztevenreal
Los investigadores de Aikido Security informaron el viernes que habían contrario al menos 151 repositorios de GitHub comprometidos por un actor de amenazas rastreado como Glassworm, que oculta cargas maliciosas en caracteres Unicode invisibles al ojo humano. Los repositorios afectados fueron comprometidos entre el 3 y el 9 de marzo. según el blog de seguridad de Aikidoy desde entonces la campaña se ha expandido a npm y al mercado de VS Code.
Profundiza con TH Premium: CPU
La técnica explota los caracteres del dominio de uso privado Unicode (específicamente, los rangos 0xFE00 a 0xFE0F y 0xE0100 a 0xE01EF) que se representan como espacios en blanco de satisfecho cero en prácticamente todos los editores de código y terminales y, en consecuencia, aparecen como espacios en blanco para un desarrollador que revisa una solicitud de ascendencia. Mientras tanto, un pequeño decodificador extrae los bytes ocultos y los pasa a eval(), ejecutando una carga útil maliciosa completa.
En incidentes anteriores de Glassworm, esa carga útil buscaba y ejecutaba un script de segunda etapa que utilizaba la condena de bloques Solana como canal de comando y control, capaz de robar tokens, credenciales y secretos.
El artículo continúa a continuación.
Aikido sugiere que los 151 repositorios identificados probablemente sean una fracción del total, ya que muchos ya habían sido eliminados antiguamente de que se publicara la investigación. Entre los objetivos notables se encuentran los repositorios de Wasmer, Reworm y anomalyco, la estructura detrás de OpenCode y SST. El mismo patrón de decodificador igualmente apareció en al menos dos paquetes npm y una extensión VS Code cargada el 12 de marzo.
Desafortunadamente, esta campaña Glassworm más flamante es más difícil de contrarrestar que las versiones anteriores conveniente a la sofisticación de las inyecciones maliciosas. En división de aparecer como confirmaciones obviamente sospechosas, toman la forma de cambios de traducción y pequeños refactores que son “estilísticamente consistentes con cada esquema objetivo”. Aikido dice que sospecha que los atacantes están utilizando modelos de verbo grandes para producir esta portada, ya que de otra guisa no sería factible crear manualmente 151 cambios de código personalizados en diferentes bases de código.
Glassworm ha estado activo desde al menos marzo de 2025, cuando el Aikido encontró por primera vez la técnica invisible Unicode en Paquetes npm maliciosos. En octubre, el mismo actor se había trasladado al registro de extensión Open VSX y a los repositorios de GitHub. Una investigación inicial realizada por Koi Security descubrió que el conjunto utilizó credenciales robadas de npm, GitHub y Git para propagar aún más el insignificante, con cargas aperos decodificadas que implementaban servidores VNC ocultos y proxies SOCKS para camino remoto. La infraestructura basada en Solana dificulta la asesinato, ya que las transacciones de blockchain no se pueden modificar ni eliminar.
Aikido recomienda examinar los nombres de los paquetes y las dependencias antiguamente de incorporarlos a los proyectos, y utilizar herramientas automatizadas que escaneen específicamente caracteres Unicode invisibles, ya que la revisión visual del código no protege esta clase de inyección.
Seguir Hardware de Tom en Google Newso agréganos como fuente preferidapara aceptar nuestras últimas noticiario, descomposición y reseñas en sus feeds.
