Hackers preenchem projetos no GitHub que escondem código malicioso.

Cibercriminosos mascaram código malicioso com “caracteres invisíveis” Unicode

Novas pesquisas da Aikido Security mostraram que, no início de março, 151 projetos apareceram no GitHub contendo código espionagem oculto. Pacotes maliciosos usam caracteres Unicode que parecem espaços ou linhas vazias para o humano, mas ao executar JavaScript normalmente se transformam em byte‑code executável e entram na função `eval()`.

Como a ataque funciona
1. Nomes de bibliotecas

Os pacotes são nomeados como soluções comerciais conhecidas (por exemplo, “React” ou “Node.js”). Isso faz os desenvolvedores acreditarem erroneamente que são seguros e incluí-los em seus projetos.

2. Código “legível” + fragmentos ocultos

A maior parte do código parece uma aplicação comum e legível. Dentro há blocos preenchidos com caracteres “invisíveis”. Ao olhar manualmente eles desaparecem, mas ao executar – são ativados.

3. Repositórios de teste

Esses pacotes maliciosos já foram encontrados não apenas no GitHub, mas também em NPM, Open VSX e no marketplace do Visual Studio Code.

Por que é difícil notar
- As alterações nos projetos parecem normais: atualização de versão, correção de bugs, refatoração.

- Os atacantes, segundo especialistas, usam grandes modelos linguísticos de IA para automatizar a falsificação de código. Isso permite preparar rapidamente mais de 150 projetos sem trabalho manual.

História dos caracteres
Os caracteres Unicode que correspondem às letras latinas foram adicionados ao sistema há décadas. Desde 2024 eles têm sido usados por hackers para mascarar solicitações maliciosas a chat‑bots e código em repositórios. Ferramentas tradicionais de análise estática não os detectam; apenas durante a execução do JavaScript pequenos decodificadores revelam o byte‑code real.

O que fazer os desenvolvedores
1. Verifique dependências – antes de incluir bibliotecas externas, estude cuidadosamente seu código fonte e histórico de alterações.

2. Checagens automáticas – use linters, scanners para “caracteres invisíveis” e ferramentas de análise comportamental dinâmica.

3. Atualize – monitore se os pacotes foram removidos após o download; isso pode indicar uma ameaça oculta.

Perspectivas
Se as suposições sobre o uso da IA nessa estratégia forem confirmadas, detectar e eliminar tais ataques ficará cada vez mais difícil. No entanto, uma abordagem consciente na verificação de código fonte e dependências continua sendo a melhor defesa contra essas ameaças.