1 min de leitura ·

Repositórios maliciosos no GitHub utilizam caracteres Unicode invisíveis para espalhar malware

Pesquisadores identificaram um ataque à cadeia de suprimentos que distribuiu 151 pacotes maliciosos enviados ao GitHub entre 3 e 9 de março, atribuído ao grupo cibercriminoso Glassworm. Os pacotes se apresentavam como legítimos, oferecendo bibliotecas utilitárias e ferramentas de desenvolvimento, como clientes de API, SDKs, integrações ou helpers para tarefas específicas.

O ataque utiliza caracteres Unicode invisíveis para ocultar código malicioso dentro dos pacotes. Em editores de código, terminais e interfaces de revisão, o conteúdo parece vazio ou composto apenas por espaços em branco, mas é interpretado normalmente por motores de execução, como o interpretador de JavaScript, tornando o malware funcional. A exploração pode permitir roubo de tokens do GitHub, NPM e CI/CD, credenciais de usuários e até controle remoto da máquina.

Segundo os pesquisadores, a maioria dos pacotes já foi removida do GitHub, embora não esteja confirmado se todos foram eliminados. Alguns deles incluem:

pedronauck/reworm (1,460 estrelas)
pedronauck/spacefold (62 estrelas)
anomalyco/opencode-bench (56 estrelas)
doczjs/docz-plugin-css (39 estrelas)
uknfire/theGreatFilter (38 estrelas)
sillyva/rpg-schedule (37 estrelas)
wasmer-examples/hono-wasmer-starter (8 estrelas)

Fonte: https://www.aikido.dev/blog/glassworm-returns-unicode-attack-github-npm-vscode