Post #4746

黑客使用看不见的字符对 GitHub 等平台发动供应链攻击 #安全 安全公司 Aikido Security 的研究人员报告了对 GitHub 等平台发动的新供应链攻击。攻击者使用不可见的 Unicode 字符上传了 151 个恶意包，这些字符在编辑器等界面对人眼不可见，但能被机器阅读，并能执行其恶意指令。安全研究人员将该组织命名为 Glassworm，认为攻击者使用大模型生成了不同项目的软件包。不可见字符使用 Public Use Areas(aka Public Use Access)渲染，是 Unicode 标准中用于定义表情符号、旗帜等特殊字符的私有字符代码点。当输入计算机时，这些代码点的输出对人类完全不可见，只能看到空白或空行，但对 JavaScript 解释器而言，这些代码点会被转换为可执行代码。 https://www.aikido.dev/blog/glassworm-returns-unicode-attack-github-npm-vscode https://arstechnica.com/security/2026/03/supply-chain-attack-using-invisible-code-hits-github-and-other-repositories/