隐形恶意软件渗透 GitHub 和其他存储库

研究人员发现了一种新的供应链攻击，该攻击正在用包含不可见代码的恶意软件包淹没存储库，这是一种规避传统安全防御的技术。

Aikido Security 公司的研究人员报告发现 151 个恶意软件包，这些软件包于 3 月 3 日至 3 月 9 日上传到 GitHub。供应链攻击已成为常见威胁 href="https://arstechnica.com/information-technology/2018/11/hacker-backdoors-widely-used-open-source-software-to-steal-bitcoin/">近十年，攻击者上传代码和名称类似于广泛使用的库的恶意包，欺骗开发人员将其合并到他们的软件中。

最新的攻击采用了一种新技术：在加载到几乎所有编辑器、终端和代码审查界面时使用不可见的选择性代码。虽然大多数代码看起来正常且可读，但恶意功能和有效负载（恶意软件的常见迹象）对于传统防御来说不可见。

合气道安全研究人员解释说，攻击者利用Unicode字符来混淆代码的恶意部分，使它们在大多数工具和系统中显示为良性注释或空格。然而，当执行该包时，不可见代码被激活，从而使攻击者能够获得对受影响系统的控制。

这项新技术给安全研究人员和开发人员带来了重大挑战，因为传统的恶意软件检测方法无法有效应对这些隐形威胁。研究人员警告说，随着攻击者不断寻找绕过安全措施的新方法，这种攻击向量将来可能会被广泛利用。

为了降低此类供应链攻击的风险，专家建议开发人员和组织实施强大的代码审查流程、使用自动安全扫描工具，并对上传到他们所依赖的存储库的任何可疑软件包保持警惕。

这种隐形恶意软件的发现凸显了网络犯罪分子不断发展的复杂性以及持续安全解决方案创新的必要性，以跟上不断变化的威胁形势。