Bezpečnostní experti v posledních dnech narazili na něco, co na první pohled nedává smysl. Balíčky nahrané na GitHub, npm nebo do prostředí pro vývojáře vypadají čistě. Žádné podezřelé části, žádné varovné signály. Jen běžné úpravy, jaké vývojář potkává dnes a denně.

Jenže při bližším zkoumání vyšlo najevo, že v těchto balíčcích je ukrytý škodlivý kód. Ne proto, že by byl dobře zamaskovaný. On totiž není vidět vůbec.

Útočníci využili vlastnost Unicode znaků, které se zobrazují jako prázdné místo. V editoru tak vidíte jen zdánlivě prázdný řádek nebo nevinný text. Ve skutečnosti ale tenhle „prázdný prostor“ obsahuje instrukce, které se při spuštění normálně vykonají.

To je zásadní rozdíl oproti starším útokům. Dřív šlo hlavně o to zmást vývojáře názvem balíčku nebo drobnou úpravou kódu. Tady se obchází samotný princip kontroly. Když není co vidět, není ani co odhalit.

Proč to prochází?

Na první pohled jde o chytrý trik. Ve skutečnosti je to docela nepříjemný posun. Většina obrany totiž stojí na tom, že se kód kontroluje. Buď ručně, nebo pomocí nástrojů, které hledají podezřelé části.

Jenže v tomhle případě kontrola často nic nenajde. Viditelná část kódu působí naprosto normálně. Dokumentace sedí, změny dávají smysl, styl odpovídá projektu. Když se na to díváte, nemáte důvod zbystřit.

Až ve chvíli, kdy se kód spustí, dojde k rozkódování skryté části. Ta pak může stáhnout další skript nebo rovnou začít sbírat citlivá data. V některých případech jde o přihlašovací údaje nebo kryptoměnové peněženky.

Zajímavé je i to, jak rychle se tyhle balíčky šíří. Nejde o jeden izolovaný pokus. Výzkumníci jich našli desítky během pár dní a je dost pravděpodobné, že to je jen část celé kampaně. Padá také podezření, že útočníci využívají umělou inteligenci. Dává to smysl. Vytvořit velké množství věrohodně vypadajících změn napříč různými projekty by ručně zabralo obrovské množství času.