Các hacker đang lấp đầy các dự án trên GitHub với mã độc ẩn trong chúng.

Kẻ tội phạm mạng che giấu mã độc bằng các ký tự Unicode “không nhìn thấy”

Nghiên cứu mới của công ty Aikido Security cho thấy vào đầu tháng Ba, trên GitHub xuất hiện 151 dự án chứa mã gián điệp ẩn. Các gói độc hại sử dụng ký tự Unicode, trông như khoảng trắng hoặc dòng trống đối với con người nhưng khi chạy JavaScript bình thường chúng chuyển thành byte‑code thực thi và được đưa vào hàm `eval()`.

Cách tấn công trông như thế nào
1. Tên thư viện

Các gói đặt tên giống các giải pháp thương mại nổi tiếng (ví dụ, “React” hoặc “Node.js”). Điều này khiến nhà phát triển tin nhầm rằng chúng an toàn và đưa vào dự án của mình.

2. Mã “đọc được” + đoạn ẩn

Phần lớn mã trông như một chương trình bình thường, dễ đọc. Trong khi đó có các khối chứa ký tự “không nhìn thấy”. Khi xem thủ công chúng biến mất, nhưng khi thực thi – chúng kích hoạt.

3. Kho lưu trữ thử nghiệm

Các gói độc hại này đã được phát hiện không chỉ trên GitHub mà còn trong NPM, Open VSX và thị trường Visual Studio Code.

Tại sao khó nhận ra
- Thay đổi trong dự án trông bình thường: cập nhật phiên bản, sửa lỗi, tái cấu trúc.
- Các kẻ tấn công, theo ý kiến chuyên gia, sử dụng các mô hình ngôn ngữ lớn của AI để tự động hoá việc giả mạo mã. Điều này cho phép nhanh chóng chuẩn bị hơn 150 dự án mà không cần lao động thủ công.

Lịch sử ký tự
Các ký tự Unicode tương ứng với chữ cái Latin đã được thêm vào hệ thống cách đây hàng thập kỷ. Từ năm 2024, chúng bắt đầu được hacker dùng để che giấu các yêu cầu độc hại tới chatbot và mã trong kho lưu trữ. Các công cụ phân tích tĩnh truyền thống không phát hiện được chúng; chỉ khi chạy JavaScript, những bộ giải mã nhỏ sẽ tiết lộ byte‑code thực sự.

Những gì nhà phát triển nên làm
1. Kiểm tra phụ thuộc – trước khi kết nối thư viện bên ngoài, hãy xem kỹ mã nguồn và lịch sử thay đổi của nó.
2. Kiểm tra tự động – dùng lint, trình quét để tìm “ký tự không nhìn thấy” và các công cụ phân tích hành vi động.
3. Cập nhật – theo dõi xem có gói bị xóa sau khi tải xuống; điều này có thể chỉ ra mối đe dọa ẩn.

Triển vọng
Nếu giả thuyết về việc sử dụng AI trong mô hình này được xác nhận, việc phát hiện và loại bỏ các cuộc tấn công như vậy sẽ ngày càng khó khăn hơn. Tuy nhiên, một phương pháp cẩn trọng trong kiểm tra mã nguồn và phụ thuộc vẫn là biện pháp bảo vệ tốt nhất chống lại những mối đe dọa tương tự.