安全公司 Aikido Security 的研究人员报告了对 GitHub 等平台发动的新供应链攻击。攻击者使用不可见的 Unicode 字符上传了 151 个恶意包,这些字符在编辑器等界面对人眼不可见,但能被机器阅读,并能执行其恶意指令。安全研究人员将该组织命名为 Glassworm,认为攻击者使用大模型生成了不同项目的软件包。不可见字符使用 Public Use Areas(aka Public Use Access)渲染,是 Unicode 标准中用于定义表情符号、旗帜等特殊字符的私有字符代码点。当输入计算机时,这些代码点的输出对人类完全不可见,只能看到空白或空行,但对 JavaScript 解释器而言,这些代码点会被转换为可执行代码。
黑客使用看不见的字符对 GitHub 等平台发动供应链攻击
上一篇:有线耳机销量暴增
