Recent, cercetătorii de la Aikido Security au descoperit o serie de atacuri asupra lanțului de aprovizionare care afectează renumite repozitorii de cod, inclusiv GitHub. În perioada 3-9 martie, au fost identificate 151 de pachete malware care conțineau cod invizibil, o tehnică sofisticată care depășește mecanismele tradiționale de apărare. Această metodă de atac nu este nouă, dar complexitatea sa a crescut semnificativ în ultima decadă. Atacatorii încarcă pachete cu coduri și denumiri similare celor ale bibliotecilor de coduri larg răspândite, inducând în eroare dezvoltatorii care le integrează accidental în propriile software-uri. Uneori, aceste pachete sunt descărcate de mii de ori.
Tehnica adoptată recent implică utilizarea selectivă a codurilor care nu sunt vizibile atunci când sunt încărcate în majoritatea editorilor, terminalelor și interfețelor de revizuire a codului. Deși majoritatea codului apare într-o formă normală, ușor de citit, funcțiile și payload-urile rău intenționate sunt codate în caractere Unicode invizibile pentru ochiul uman. Această tactică, observată pentru prima dată de Aikido anul trecut, face ca revizuirile manuale ale codului și alte apărări tradiționale să fie aproape inutile. Alte repozitorii vizate de aceste atacuri includ NPM și Open VSX.
Detectarea pachetelor malware este și mai dificilă datorită calității înalte a porțiunilor vizibile ale codului.
“Injecțiile rău intenționate nu sunt introduse prin commit-uri suspecte”, scriu cercetătorii de la Aikido. “Modificările asociate sunt realiste: ajustări ale documentației, actualizări de versiune, refactorizări minore și corectări de bug-uri, toate păstrând un stil consistent cu proiectul țintă.”
Cercetătorii suspectează că grupul denumit Glassworm utilizează modele de limbaj de învățare automată (LLM) pentru a genera aceste pachete cu aspect legitim. “La scala la care vedem acum, crearea manuală a peste 151 de modificări de cod personalizate pentru diferite baze de coduri pur și simplu nu este fezabilă”, explică ei. O altă firmă de securitate, Koi, care urmărește de asemenea acest grup, suspectează de asemenea folosirea inteligenței artificiale.
Codul invizibil este redat folosind Zonele de Utilizare Publică din specificația Unicode pentru caractere speciale rezervate pentru uz privat în definirea emoji-urilor, steagurilor și altor simboluri. Aceste puncte de cod reprezintă fiecare literă din alfabetul SUA atunci când sunt procesate de computere, dar rezultatul lor este complet invizibil pentru oameni. Persoanele care revizuiesc codul sau folosesc unelte de analiză statică văd doar spații albe sau linii goale. Pentru un interpretor JavaScript, punctele de cod se traduc în cod executabil.
Caracterele Unicode invizibile au fost concepute acum decenii, apoi în mare parte uitate. Până în 2024, când hackerii au început să folosească aceste caractere pentru a ascunde prompturi rău intenționate alimentate la motoarele AI. Deși textul era invizibil
atac cibernetic, cod invizibil, GitHub, NPM, Open VSX, Unicode, Aikido Security, malware, lanț de aprovizionare, securitate cibernetică, pachete malitioase, detectare malware, coduri invizibile, apărare cibernetică, revizuirea codului, inteligență artificială, LLM, Glassworm, JavaScript, analiză statică
Sursa: Ars Tehnica Technology
Poll: Care este cea mai eficientă metodă de apărare împotriva atacurilor cu coduri invizibile?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply