工具推荐
安全警报:Glassworm 隐形 Unicode 攻击卷土重来,150+ GitHub 仓库中招
安全公司 Aikido 发现新一波 Glassworm 攻击,利用不可见 Unicode 字符在 GitHub 和 npm 包中植入恶意代码,肉眼完全看不出异常。开发者需立即检查依赖安全。
安全警报:Glassworm 隐形 Unicode 攻击卷土重来,150+ GitHub 仓库中招
工具推荐
事件概要
安全公司 Aikido 发布报告:Glassworm 隐形攻击再次活跃,已在超过 150 个 GitHub 仓库中发现恶意代码。
攻击者利用 Unicode 不可见字符(如零宽空格、方向控制符等)将恶意代码嵌入看似正常的源文件中。代码在 GitHub 页面和编辑器中肉眼完全不可见,但运行时会执行恶意逻辑。
影响范围
- GitHub:150+ 仓库发现感染
- npm:部分 npm 包也被植入
- VS Code:常规代码审查难以发现
开发者应该怎么做
- 检查依赖 — 运行
npm audit或使用 Snyk/Aikido 等工具扫描 - 启用 Unicode 可见化 — 在编辑器中开启不可见字符显示
- — 引入新包前检查源码和维护者信誉